WordPress сайтына хакерлік шабуыл – алдын алу жолдары

басып шығару · Время на чтение: 11мин · бойынша · Жарияланды · Жаңартылған

ойнауБұл мақаланы тыңдаңыз

WordPress сайтыңызды хакерлерден қалай қорғауға болады?

WordPress сайтына хакерлік шабуыл болуы мүмкін? Хакерлер сіздің WordPress сайтыңызға шабуыл жасайды деп алаңдайсыз ба? Сізді алаңдатпағаныңызды қалаймын, бірақ шын мәнінде WordPress веб-сайттары үнемі хакерлердің шабуылына ұшырайды. Бұл негізінен оның танымалдылығына байланысты, өйткені WordPress интернеттегі барлық веб-сайттардың үштен бірін қамтамасыз етеді.

WordPress өзі қауіпсіз веб-сайт құру платформасы болғанымен, ол өздігінен жұмыс істемейді. WordPress сайтын іске қосу үшін сізге плагиндер мен тақырыптар қажет. Плагиндер мен тақырыптар көбінесе хакерлер веб-сайттарды бұзу үшін пайдаланатын осалдықтарды қамтиды.

Олар сіздің веб-сайтыңызға кіргеннен кейін, олар құпия ақпаратты ұрлау, тұтынушыларды алдау және заңсыз мазмұнды көрсету сияқты зиянды әрекеттердің барлық түрлерін жасайды. Сонымен қатар, сіздің сайтыңыз іздеу нәтижелерінде ескертумен белгіленуі мүмкін, Google қара тізімге енгізеді, Яндекске тыйым салуы немесе тіпті веб-хостыңыз бұғаттауы мүмкін. Мұның бәрі келушілер мен кірістердің жоғалуына әкеледі.

WordPress әзірлеушілері платформаны қауіпсіз ұстағанымен, WordPress сайтының иелері де өз бетінше әрекет етуі керек. Бұл мақалада біз WordPress сайттарына жиі кездесетін шабуылдарды және оларға қарсы қолдануға болатын алдын алу шараларын талқылаймыз.

Мақаланың мазмұны:

Неліктен WordPress хакерлер үшін танымал мақсат болып табылады?

Неліктен WordPress хакерлердің мақсаты болып табылады?

WordPress кез келген адамға кодтауды білмей-ақ веб-сайттар жасауға мүмкіндік беретін веб-сайт құру платформасы. Сонымен қатар, WordPress тегін. Нәтижесінде бүгінгі күні платформа 1,4 миллиардтан астам белсенді сайттарға қызмет көрсетеді.

Мұның бәрі басқа платформада жасалған веб-сайттарға қарағанда WordPress веб-сайттары мақсатты болып табылады.

Енді сіздің сайтыңызға хакерлердің кіруінің бірнеше жолы бар. Мен тізімді ең көп таралған 5 тізімге қысқарттым. Мен не болып жатқанын және WordPress сайтыңызды одан қалай қорғауға болатынын түсіндіремін.

WordPress сайттарына ең көп таралған 5 шабуыл

1. Осал плагиндер мен тақырыптар

WordPress веб-сайты үш элемент арқылы жасалады: негізгі орнату, тақырыптар және плагиндер. Барлық үш элемент сайтты бұзуға осал ете алады.

Көптеген жылдар бойы WordPress ядросында үлкен осалдықтар болған жоқ. Оған жоғары білікті және тәжірибелі әзірлеушілер тобы қолдау көрсетеді. Олар платформаның толығымен қауіпсіз болуын қамтамасыз ету үшін көп жұмыс істейді, сондықтан сізде алаңдайтын ештеңе жоқ.

Дегенмен, WordPress плагиндері мен тақырыптарын үшінші тарап әзірлеушілері жасайды және олар WordPress осалдықтарын жиі жасайды. Әзірлеушілер кез келген осалдықты анықтаған кезде оны дереу түзетеді және жаңартылған нұсқасын шығарады.

Сіз, сайт иесі, соңғы нұсқаға жаңартуыңыз керек және сіздің сайтыңыз қауіпсіз болады. Бұл қауіпсіздік жаңартуларын дереу орнату маңызды. Себебі әзірлеушілер жаңартуды шығарған кезде, олар жаңартудың себептерін де ашады. Осылайша, осалдық жұртшылыққа жарияланады.

Бұл хакерлер енді осалдық бар екенін біледі дегенді білдіреді. Олар сондай-ақ сайт иелерінің барлығы сайттарын бірден жаңартпайтынын біледі. Сондықтан олар плагиннің немесе тақырыптың осал екенін білгеннен кейін, олар вебті тексеріп шығу және оларды пайдаланатын сайттарды табу үшін боттарды және тексеріп шығушыларды бағдарламалайды. Осалдықтың не екенін білу оларға wp feed зиянды бағдарламалық құрал сияқты зиянды бағдарламаларды оңай пайдалануға, бұзуға және енгізуге мүмкіндік береді.

Сайтты осал плагиндер мен тақырыптардан қалай қорғауға болады

  • Тек WordPress репозиторийінде немесе осындай базарларда табылған тексерілген тақырыптар мен плагиндерді пайдаланыңыз.
  • Плагиндер тізімін үнемі тексеріп, тек сіз пайдаланатындарды ғана сақтаңыз. Қажет емес немесе белсенді емес нәрселердің барлығын жойыңыз.
  • Тақырыпты жүйелі түрде сканерлеңіз. Ең дұрысы, сіз тек белсенді пайдаланатын тақырыпты сақтауыңыз керек.
  • Ешқашан қарақшылық тақырыптар мен плагиндерді пайдаланбаңыз. Олар әдетте сіздің сайтыңызды жұқтыратын зиянды бағдарламаларды қамтиды.
  • Сайтыңыздағы барлық плагиндер мен тақырыптарды танитыныңызға көз жеткізіңіз. Кейде хакерлер веб-сайттың бэкдорлары орнатылған өздерінің плагиндері мен тақырыптарын орнатады. Бұл оларға сіздің сайтыңызға жасырын кіруге мүмкіндік береді.

2. Күшті шабуылдар

WordPress сайтыңызға кіру үшін логин тіркелгі деректеріңізді, яғни пайдаланушы аты мен құпия сөзді енгізуіңіз керек.

Көбінесе WordPress сайтының иелері есте сақтау оңай пайдаланушы аттары мен құпия сөздерді пайдаланады. Көптеген WordPress пайдаланушылары әдепкі пайдаланушы атын «admin» сақтайды. Жалпы құпия сөздерге "password123" немесе "1234567" кіреді. Хакерлер мұны жақсы біледі және WordPress сайттарының кіру бетіне шабуыл жасайды.

WordPress әкімшісінің кіру беті. (логин, электрондық пошта, пароль).

Олар жиі қолданылатын пайдаланушы аттары мен құпия сөздердің дерекқорын жасайды. Содан кейін олар боттарды WordPress сайттарына бағыттау үшін бағдарламалайды және олардың дерекқорындағы әртүрлі комбинацияларды сынап көреді.

Кіру тіркелгі деректері қауіпсіз болмаса, боттардың оларды болжап, сайтыңызды басып алу мүмкіндігі жоғары. Бұл «дөрекі күш шабуылы» ретінде белгілі және олар 10% табысты деп бағаланады!

Сайтты қатал шабуылдардан қалай қорғауға болады

Сайтыңызды дөрекі шабуылдан қорғау үшін бірнеше қадамдарды орындауға болады:

  • Әдепкі бойынша, сіздің WordPress пайдаланушы атыңыз әкімші болып табылады. Сіз оны әкімшіден ерекше нәрсеге өзгерте аласыз. Күшті WordPress құпия сөзін пайдаланыңыз. Мен Birdgfydhfgyysr143% сияқты сандар мен таңбалармен бірге құпия фразаны пайдалануды ұсынамын.
  • Басқа веб-сайттарда пайдаланбаған бірегей тіркелгі деректерін пайдаланыңыз.
  • Сайтыңызға кіру әрекеттерінің санын шектеңіз. Бұл WordPress пайдаланушысының 3 әрекет немесе 5 әрекет сияқты дұрыс тіркелгі деректерін енгізу мүмкіндігі шектеулі болады дегенді білдіреді. Осыдан кейін олар «парольді ұмытып қалдым» опциясын пайдалануы керек. Қауіпсіздік плагинін орнатуға болады және ол сіздің логиніңізді автоматты түрде қорғайды.
  • Екі факторлы аутентификацияны пайдаланыңыз, ол WordPress пайдаланушысынан тіркелгі деректерін және смартфондарында жасалған немесе тіркелген электрондық пошта мекенжайына жіберілетін бір реттік құпия сөзді енгізуді талап етеді.

3. Инъекциялық шабуылдар

Әрбір дерлік веб-сайтта кірушілерге деректерді енгізуге мүмкіндік беретін контакт пішіні, сайт іздеу жолағы немесе түсініктеме бөлімі сияқты енгізу өрісі бар. Кейбір веб-сайттар келушілерге құжаттар мен кескін файлдарын жүктеп салуға мүмкіндік береді.

Әдетте, бұл деректер өңдеу және сақтау үшін қабылданады және дерекқорыңызға жіберіледі. Бұл өрістер дерекқорға кірмес бұрын деректерді тексеру және тазарту үшін дұрыс конфигурациялануы керек. Бұл тек жарамды деректердің алынуын қамтамасыз етеді. Егер бұл шаралар жоқ болса, хакерлер мұны пайдаланып, зиянды кодты енгізеді.

Байланыс пішіні бар WordPress сайтының мысалын алайық. Ең дұрысы, бұл пішін аты, электрондық пошта мекенжайы және телефон нөмірін қабылдауы керек.

WordPress сайтындағы байланыс формасы. Беттегі байланыс формасы.

  1. Атау өрісі тек алфавиттік таңбаларды қабылдауы керек.
  2. Электрондық пошта мекенжайы өрісі example@mysite.com сияқты жарамды электрондық пошта мекенжайы пішімін қабылдауы керек.
  3. Телефон нөмірі өрісінде тек сандар болуы керек.

Енді, егер бұл конфигурациялар болмаса, хакер зиянды сценарийлерді енгізе алады, мысалы:

String userLoginQuery = "пайдаланушы_идентификаторын, пайдаланушы атын, құпия сөзді_хэшті ТАҢДАУ пайдаланушылардан ҚАЙДА пайдаланушы аты = '" + request.getParameter("user") + "'";

Бұл дерекқорға белгілі бір функцияларды орындауды көрсететін код. Осылайша, хакерлер сіздің сайтыңызда зиянды сценарийлерді іске қоса алады, олар сіздің сайтыңызды толық бақылауға алу үшін пайдалана алады. WordPress сайттарына қарсы ең танымал инъекциялық шабуылдарға SQL инъекциялық шабуылдары және сайттар арасындағы сценарийлер жатады.

Сайтты инъекциялық шабуылдардан қалай қорғауға болады

  • Көптеген инъекциялық шабуылдар келушілерге сіздің сайтыңызға ақпаратты енгізуге мүмкіндік беретін тақырыптар мен плагиндерді қамтиды. Мен тек дәлелденген тақырыптар мен плагиндерді пайдалануды ұсынамын. Содан кейін әрқашан плагиндер мен тақырыпты жаңартыңыз.
  • Енгізу өрістерін басқарыңыз және деректерді жіберіңіз. Бұл техникалық мәселе және әзірлеушінің көмегін қажет етеді.
  • WordPress брандмауэрін пайдаланыңыз.

4. Фишинг және деректерді ұрлау

Келушілер сіздің сайтыңызбен әртүрлі жолдармен әрекеттеседі. Олардың кейбіреулері тек сіздің блог жазбаларыңызды оқиды, басқалары сізбен байланыс арқылы байланысады және т.б. Егер сізде электрондық коммерция сайты болса, көптеген келушілер сіздің сайтыңыздағы өнімдерді сатып алады. Бұл олар сіздің веб-сайтыңызға кіріп, банк картасының мәліметтерін енгізуі керек дегенді білдіреді.

Біреу сіздің сайтыңызға несие картасының ақпаратын енгізген кезде, олар ақпаратты сайтыңыздың серверіне жібереді және сақтайды. Бұл ақпаратты жіберу кезінде ұстауға болады. Сонымен қатар, банк картасының деректемелері ұрлануы мүмкін.

Сондай-ақ олар сіздің сайтыңызға еніп, сіздің кейпіңізді көрсете алады. Олар электрондық хаттар жібереді немесе келушілерді басқа веб-сайттарға қайта бағыттайды және оларды жеке және төлем ақпаратын ашуға алдайды.

Веб-сайтыңызды фишингтен және деректерді ұрлаудан қалай қорғауға болады

  • SSL сертификатын пайдаланыңыз. Бұл сіздің сайтыңызға және одан тасымалданатын деректерді шифрлайды. Хакер оны ұстап алса да, ол оны пайдалана алмайды, өйткені оның шифрын шеше алмайды. Бұл сонымен қатар сіздің сайтыңыздағы WordPress сайтының қауіпсіздік ескертуін жояды.
  • Сайтыңыздағы күдікті әрекет туралы ескертулер алу үшін WordPress қауіпсіздік плагинін пайдаланыңыз. Плагин сонымен қатар бұзу әрекеттерін блоктайды.

5. Печенье ұрлығы

Сіз веб-сайтқа кірген кезде браузеріңіз сізден «мені есте сақтауды» немесе «құпия сөзді сақтауды» сұрайтынын байқадыңыз ба? Бұл веб-сайтқа кіргіңіз келген сайын тіркелгі деректеріңізді енгізудің қажеті жоқ екеніне көз жеткізу үшін. Браузерге кіру ақпаратын сақтауға рұқсат бере аласыз.

Браузерлер бұл деректерді cookie файлдарының арқасында сақтай алады. Cookie файлдары – келушінің веб-сайтпен әрекеттесуін жазатын шағын деректер бөліктері. Мысалы, егер сіз интернет-дүкенді басқарсаңыз, сіздің сайтыңыз тұтынушының қандай өнімді іздегені және не сатып алғаны сияқты саяхатын бақылай алады. Бұл деректер аналитикада пайдаланылады және жарнама берушілер жарнамаларды келушінің қалауына қарай реттейді. Енді cookie файлдары банк деректерін және жеке ақпаратты сақтай алады.

Егер хакер сіздің веб-сайтыңыздың cookie файлдарын ұрлай алса, олар сіздің бизнесіңіз бен келушілеріңіз туралы құпия деректерге қол жеткізе алады. Олар бұл деректерді өздерінің зиянды әрекеттерін орындау үшін пайдалана алады, мысалы, несие картасының мәліметтерін пайдаланып тұтынушыларды алдау.

Сайтыңызды cookie файлдарын ұрлаудан және сеансты ұрлаудан қалай қорғауға болады

  • WordPress кілттері мен тұздарын үнемі өзгертіңіз. Кілттер мен тұздар браузердің cookie файлдарында сақталған ақпаратты қауіпсіз шифрлауды қамтамасыз етеді. Бұл шара техникалық сипатта болады.
  • Сондай-ақ веб-сайт деректерін қорғау үшін SSL сертификатын орнату ұсынылады.

Бұл WordPress-ке қарсы ең көп таралған шабуылдарды аяқтайды. Аяқтамас бұрын, мен сізге сайтыңызды осындай шабуылдардан қорғайтын бірнеше WordPress қауіпсіздік шараларын көрсеткім келеді.

WordPress сайтыңызды шабуылдардан қалай қорғауға болады?

Веб-сайтыңызды белгілі бір шабуылдардан қорғау үшін белгілі бір қадамдар жасай алатын болсаңыз да, өзіңізді жақсырақ қорғау үшін веб-сайтыңызға енгізуге болатын кейбір жалпы қауіпсіздік шаралары бар. Бұл WordPress қатайту шаралары деп аталады.

1. Файл өңдегішін өшіріңіз

WordPress-те тақырып пен плагин файлдарын тікелей басқару тақтасынан өңдеуге мүмкіндік беретін мүмкіндік бар. Көптеген сайт иелеріне бұл мүмкіндік қажет емес, оны негізінен әзірлеушілер пайдаланады. Бірақ егер хакер wp-admin басқару тақтасын бұзса, ол зиянды кодты тақырыпқа және плагин файлдарына енгізе алады. Осылайша, бұл мүмкіндік қажет болмаса, оны өшіруге болады.

2. Плагиндерді немесе тақырыптарды орнатуды өшіріңіз

Хакерлер сіздің сайтыңызға кірген кезде, олар өздерінің плагиндерін немесе тақырыптарын орнатады. Бұл плагиндер мен тақырыптар әдетте зиянды және бэкдорды қамтиды. Бұл хакерлерге сіздің сайтыңызға жасырын кіруге мүмкіндік береді.

Сондай-ақ, мен айтқанымдай, осал тақырыптар мен плагиндер веб-сайтты бұзудың негізгі себебі болып табылады. Веб-сайтыңызда бірнеше пайдаланушы болса, олар қауіпті плагинді немесе тақырыпты орнатуы мүмкін. Бұл сіздің сайтыңызды хакерлерге ашуы мүмкін. Егер сіз мұны болдырғыңыз келсе, сайтыңыздағы плагиндер мен тақырыптарды орнатуды өшіруге болады. Сайтыңызға плагиндер мен тақырыптарды үнемі орнатпасаңыз, орнату опциясын өшіруге болады.

3. Жүйеге кіру әрекеттерін шектеңіз

Жоғарыда айтқанымдай, WordPress пайдаланушысының сайтқа кіру үшін дұрыс кіру тіркелгі деректерін енгізу мүмкіндігін шектей аласыз. Бұл дөрекі күшпен шабуыл жасау қаупін жояды.

4. Қауіпсіздік кілттері мен тұздарды өзгертіңіз

пернелер және соли браузерде сақталған ақпаратты шифрлау. Осылайша, хакер сіздің cookie файлдарыңызды ұрлап алса да, олардың шифрын аша алмайды. Дегенмен, егер хакер осы кілттер мен тұздарға қол жеткізсе, оларды cookie файлдарының шифрын ашу үшін пайдалана алады. Кілттер мен тұздарды жүйелі түрде өзгерту печенье ұрлығын болдырмауға көмектеседі.

5. Белгісіз қалталарда РНР орындалуын блоктау

WordPress сайтында кодты орындайтын белгілі бір файлдар мен қалталар ғана бар. Басқа қалталар суреттер мен бейнелерді сақтайтын Жүктеулер қалтасы сияқты ақпаратты ғана сақтайды. Дегенмен, хакер сіздің сайтыңызға кірген кезде, олар PHP кодын кездейсоқ қалталарға қояды немесе тіпті өз қалталарын жасайды. Белгісіз қалталарда PHP орындалуын өшіру арқылы мұндай әрекетті блоктауға болады.

Бұл шараларды жүзеге асыру техникалық білімді қажет етеді. Мен мұны қолмен жасауды ұсынбаймын. Мұны бірнеше рет басу арқылы жасауға мүмкіндік беретін WordPress қауіпсіздік плагинін пайдалану әлдеқайда қауіпсіз және оңай.

Бұл ретте мен сіздің WordPress сайтыңыздың хакерлерден қорғалғанына көз жеткіземін.

Қорытындылай келе

Хакерлерге WordPress сайтыңызға кірудің көптеген жолдары бар және олар жиі жаңаларын ойлап табады! Веб-сайтыңызды қорғау және оны хакерлердің шабуылдарынан қорғау үшін қауіпсіздік шараларын қабылдау қажет.

Осы мақаланы оқу:

Оқығаныңыз үшін рахмет: SEO HELPER | NICOLA.TOP

Бұл пост қаншалықты пайдалы болды?

Бағалау үшін жұлдызшаны басыңыз!

Орташа рейтинг 5 / 5. Дауыс саны: 103

Әзірге дауыс жоқ! Осы жазбаға бірінші болып баға беріңіз.

Сізге де ұнауы мүмкін...

Пікір үстеу

Э-пошта мекенжайыңыз жарияланбайды. Міндетті өрістер * таңбаланған

14 + он тоғыз =