Як зламують wordpress і що з цим робити, wpnice - ваш сайт про wordpress
Привіт друзі. Зламаний WordPress сайт - це один з найстрашніших кошмарів його власника, так як явище це неприємне і досить часто зустрічається.
Навіщо хтось хоче зламати ваш сайт?
Власники дрібних сайтів часто думають, що навряд чи їх сайтами зацікавиться хакер, так як незрозуміло, навіщо йому це потрібно. Але, коли ми говоримо про хакерство, тут справа навіть не в величині трафіку, і не в популярності сайту, а в самій можливості зламати даний ресурс. Іншими словами, будь-який навіть не великий сайт - це бажана мета для будь-якого хакера, і будь-який сайт може потрапити під цю роздачу.
Більшість хакерських атак автоматизовано. Одна з тих причин, за якими хакерам не важливий розмір сайту, полягає в тому, що сайти зламуються автоматично.
Так що якщо ваш сайт нічим не примітний, але його таки хакнули, значить, він просто з'явився на хакерському радарі, а не тому, що саме вас хтось вибрав.
Але навіщо їм це?
Питання залишається тим самим: навіщо хакери вкладають стільки зусиль в злом сайтів? Природно, якщо у вас інтернет-магазин, на якому сконцентровано багато номерів кредитних карт, стає зрозуміло, що хочуть отримати хакери. Але, якщо ваш сайт не містить державних таємниць і кредитної інформації, то навіщо його зламувати?
Відповідь проста - будь-який сайт може принести вигоду. Розглянемо популярні способи використання зламаних сайтів:
- Атаки Drive-by-downloads- хакери можуть використовувати ваш сайт, щоб інфікувати комп'ютери ваших відвідувачів шкідливим програмним забезпеченням, яке збирають корисну для хакерів інформацію.
- Редіректи - іноді хакери перенаправляють користувачів з вашого веб-сайту на інші веб-сайти, отримуючи афілійований дохід.
- Системні ресурси - ще одна можливість - заволодіти вашим сервером і використовувати залізо для розсилки спаму або просто для більш потужних атак.
Як зламують WordPress?
Тепер давайте розглянемо найчастіші способи успішного злому WordPress-сайтів. Згідно з даними WP Template ось найчастіші точки «входу» на сайт:
- 41% сайтів зламуються через вразливостей хостинг платформи
- 29% - через небезпечних тим
- 22% - через уразливого плагіна
- 8% - через слабке пароля
Як ви бачите, уразливості хостингу тут на першому місці. Не обов'язково, щоб атака була направлена саме на ваш сайт, ваш сайт може виявитися зламаним, тому що хакнули сайт, який ділить хостинг-простір з вашим ресурсом.
Також тривожно, що більше половини сайтів зламуються з вини вразливих плагінів і тем. Тепер ми знаємо про всі основні вразливості WordPress, і прийшов час з ними розібратися.
Як убезпечити свій сайт?
Банально звучить, але безпеку сайту цілком і повністю залежить від профілактичних процедур, так як в будь-якій справі профілактика - це найкраще лікування, і особливо це актуально для інтернету. Грунтуючись на інформації, даної вище, ми представляємо вашій увазі найефективніші способи захисту вашого WordPress-сайт від атак хакерів.
Вибираємо якісного хостинг-провайдера
Як ви зрозуміли, хостинг провайдер грає важливу роль в безпеці вашого сайту, так що вибираємо провайдера з хорошою репутацією. Крім підтримки останніх версій PHP і MySQL, провайдер повинні регулярно сканувати файли на наявність шкідливого програмного забезпечення і робити щоденні бекапи.
Також важливо, вибрати хостинг провайдера, який надає середовище, яке оптимізована під WordPress. Хоча з такими, вУкаіни наприклад, великий напряг.
Регулярно робіть бекапи
Навіть якщо ви прийміть всі необхідні заходи, що дозволяють максимально убезпечити ваш сайт, вам все одно ніхто не дасть гарантії що вас ніколи не зламають, так що резервні копії потрібно робити регулярно в обов'язковому порядку. Ось вам інструменти, що дозволяють вирішити проблему резервного копіювання:
Слабкий логін також може стати причиною злому сайту, особливо, це актуально під час брутальної хакерської атаки, коли просто використовується скрипт, який методом перебору визначає логін і пароль.
- Регулярно, за графіком, міняйте свій пароль
- Намагайтеся не використовувати логін admin
- Створіть надійний пароль (для цього можна використовувати визначити сили пароля, вбудований в WordPress, або сторонній сервіс)
- Зробіть так, щоб інші користувачі теж використовували надійні паролі
- Зберігайте паролі в надійному місці, типу RoboForm
Впровадження двоетапної аутентифікації - додайте другий шар захисту, який можна пройти, тільки вказавши код підтвердження. Для цього можна використовувати Duo Two-Factor Authentication. OpenID і Clef.
Рухаємося далі ...
Додаємо SALTs в wp-config.php WordPress захисні ключі були представлені в WordPress 2.6.Оні є рандомний рядки коду, які використовуються для кодування інформації, що зберігається в призначених для користувача куках.
Ключі входять в ваш файл wp-config.php, якщо ви бачите це:
Додайте цей шматок коду в файл functions.php
Вирішуємо проблеми з плагінами і темами
Хоч в половині випадків хакери і використовує уразливості плагінів і тем для злому сайтів, це звичайно не привід намагатися відмовитися від їх використання. Щоб мінімізувати ризики, ось вам кілька нчтрукцій, які навчать вас звертатися з плагінами і темами:
- Позбавляємося від зайвого - прибираємо непотрібні плагіни і теми, які не виконують важливих функцій. Цей крок також допоможе розігнати ваш сайт.
- Регулярно оновлюйте то, що залишилося
- Компоненти WordPress також необхідно оновлювати, також як і ядро. Крім того, якщо плагін не оновлювався в точении року, то від нього пора позбавлятися.
Перевіряємо плагіни і теми перед інсталяцією. Уникайте використання безкоштовних тим і плагінів, взятих з сумнівних ресурсів. Я вже не кажу про так звані варезні сайти. Перед установкою будь-яких компонентів, виженете їх крізь Theme Check, Plugin Check і базу вразливостей плагінів.
Інші тактики захисту сайту від хакерських атак
Відредагувати права керування доступом до файлів і папок. Якщо ці права виставлені неправильно, то треті особи можуть отримати доступ до файлів. Ось, як має виглядати в ідеалі:
755 або 750 для всіх папок
644 або 640 для файлів
600 для wp-config.php
Додамо цей код в wp-config.php: