11 Nangungunang Mga Dahilan Bakit Bakit Na-hack ang Mga Site ng WordPress (at Paano Maiiwasan ito)

Kamakailan lamang, tinanong sa amin ng isa sa aming mga mambabasa kung bakit na-hack ang mga site ng WordPress? Nakakainis na malaman na ang iyong WordPress site ay na-hack. Sa artikulong ito, ibabahagi namin ang nangungunang mga dahilan kung bakit nai-hack ang site ng WordPress, kaya maiiwasan mo ang mga pagkakamaling ito at protektahan ang iyong site.


Bakit ang mga site ng WordPress ay na-hack?

Bakit ang Target ng WordPress ng mga hacker?

Una, hindi lamang ito WordPress. Ang lahat ng mga website sa internet ay mahina laban sa mga pagtatangka sa pag-hack.

Ang dahilan kung bakit ang mga site ng WordPress ay isang karaniwang target ay dahil ang WordPress ay pinakapopular sa tagabuo ng website sa buong mundo. Pinamamahalaan nito ang higit sa 31% ng lahat ng mga website na nangangahulugang daan-daang milyong mga website sa buong mundo.

Ang napakalawak na katanyagan na ito ay nagbibigay sa mga hacker ng isang madaling paraan upang makahanap ng mga website na hindi gaanong ligtas, kaya maaari nilang samantalahin ito.

Ang mga hacker ay may iba’t ibang uri ng motibo upang mag-hack ng isang website. Ang ilan ay mga nagsisimula na natututo lamang upang masamantala ang hindi gaanong ligtas na mga site.

Ang ilang mga hacker ay may mga nakakahamak na hangarin tulad ng pamamahagi ng malware, gamit ang isang site upang atakehin ang iba pang mga website, o pag-spamming sa internet.

Gamit ang sinabi, tingnan natin ang ilan sa mga nangungunang sanhi ng mga site ng WordPress na na-hack, at kung paano maiiwasan ang iyong website na mai-hack.

1. Hindi secure na Web Hosting

Tulad ng lahat ng mga website, ang mga site ng WordPress ay naka-host sa isang web server. Ang ilang mga kumpanya ng nagho-host ay hindi maayos na nakatipid sa kanilang platform ng pag-host. Ginagawa nitong lahat ng mga website na naka-host sa kanilang mga server ay mahina laban sa mga pagtatangka sa pag-hack.

Madali itong maiiwasan sa pamamagitan ng pagpili ng pinakamahusay na provider ng hosting ng WordPress para sa iyong website. Tinitiyak nito na ang iyong site ay naka-host sa isang ligtas na platform. Ang wastong ligtas na mga server ay maaaring hadlangan ang marami sa mga pinaka-karaniwang pag-atake sa mga site ng WordPress.

Kung nais mong gumawa ng labis na pag-iingat, pagkatapos inirerekumenda namin ang paggamit ng isang pinamamahalaang provider ng hosting ng WordPress.

2. Paggamit ng Mahina na Mga Password

Paggamit ng mahina mga password

Ang mga password ay mga susi sa iyong WordPress site. Kailangan mong tiyakin na gumagamit ka ng isang malakas na natatanging password para sa bawat isa sa mga sumusunod na account dahil lahat sila ay maaaring magbigay ng isang kumpletong pag-access sa isang hacker sa iyong website.

  • Ang iyong WordPress admin account
  • Web server control panel account
  • Mga account sa FTP
  • Ang MySQL database na ginamit para sa iyong WordPress site
  • Ang mga email account na ginamit para sa WordPress admin o hosting account

Ang lahat ng mga account na ito ay protektado ng mga password. Ang paggamit ng mga mahina na password ay ginagawang mas madali para sa mga hacker na basag ang mga password gamit ang ilang mga pangunahing tool sa pag-hack.

Madali mong maiwasan ito sa pamamagitan ng paggamit ng natatanging at malakas na mga password para sa bawat account. Tingnan ang aming gabay sa pinakamahusay na paraan upang pamahalaan ang mga password para sa mga nagsisimula ng WordPress upang malaman kung paano pamahalaan ang lahat ng mga matitigas na password.

3. Hindi Nai-access na Pag-access sa WordPress Admin (wp-admin Directory)

Nagbibigay ang lugar ng admin ng WordPress ng isang gumagamit ng pag-access upang maisagawa ang iba’t ibang mga pagkilos sa iyong WordPress site. Ito rin ang pinaka-karaniwang atake ng isang site ng WordPress.

Ang pag-iwan nito na hindi protektado ay nagbibigay-daan sa mga hacker na subukan ang iba’t ibang mga diskarte upang ma-crack ang iyong website. Maaari mong gawin itong mahirap para sa kanila sa pamamagitan ng pagdaragdag ng mga patong ng pagpapatunay sa iyong direktoryo ng admin ng WordPress.

Una dapat mong protektahan ang password ng iyong WordPress admin area. Nagdaragdag ito ng isang labis na layer ng seguridad, at ang sinumang sumusubok na mag-access sa admin ng WordPress ay magkakaloob ng isang dagdag na password.

Kung nagpapatakbo ka ng isang multi-may-akda o multi-user na WordPress site, pagkatapos ay maaari mong ipatupad ang mga malakas na password para sa lahat ng mga gumagamit sa iyong site. Maaari ka ring magdagdag ng dalawang kadahilanan na pagpapatunay upang gawin itong mas mahirap para sa mga hacker na ipasok ang iyong lugar ng admin ng WordPress.

4. Hindi tamang Mga Pahintulot sa File

Mga pahintulot sa file

Ang mga pahintulot ng file ay isang hanay ng mga patakaran na ginagamit ng iyong web server. Ang mga pahintulot na ito ay tumutulong sa iyong pag-access sa web server ng pag-access sa mga file sa iyong site. Ang maling mga pahintulot ng file ay maaaring magbigay ng isang pag-access sa hacker upang isulat at baguhin ang mga file na ito.

Ang lahat ng iyong mga file ng WordPress ay dapat magkaroon ng 644 na halaga bilang pahintulot ng file. Ang lahat ng mga folder sa iyong site ng WordPress ay dapat magkaroon ng 755 bilang pahintulot ng file.

Tingnan ang aming gabay sa kung paano ayusin ang isyu sa pag-upload ng imahe sa WordPress upang malaman kung paano ilapat ang mga pahintulot na file na ito.

5. Hindi Pag-update ng WordPress

Ang ilang mga gumagamit ng WordPress ay natatakot na i-update ang kanilang mga site sa WordPress. Natatakot sila na ang paggawa nito ay masisira ang kanilang website.

Ang bawat bagong bersyon ng WordPress ay nag-aayos ng mga bug at kahinaan sa seguridad. Kung hindi mo ina-update ang WordPress, sinasadya mong iwanan ang mahina sa iyong site.

Kung natatakot ka na masira ng isang pag-update ang iyong website, pagkatapos ay maaari kang lumikha ng isang kumpletong backup ng WordPress bago magpatakbo ng isang pag-update. Sa ganitong paraan, kung ang isang bagay ay hindi gumagana, maaari mong madaling bumalik sa nakaraang bersyon.

6. Hindi Pag-update ng Mga Plugin o Tema

Tulad ng pangunahing software ng WordPress, ang pag-update ng iyong tema at mga plugin ay pantay na mahalaga. Ang paggamit ng isang hindi napapanahong plugin o tema ay maaaring gawing mahina ang iyong site.

Ang mga bahid ng seguridad at mga bug ay madalas na natuklasan sa mga plugin at tema ng WordPress. Karaniwan, ang mga may-akda ng tema at plugin ay mabilis na ayusin ang mga ito. Gayunpaman, kung ang isang gumagamit ay hindi i-update ang kanilang tema o plugin, kung gayon wala silang magagawa tungkol dito.

Tiyaking pinapanatili mo ang iyong tema ng WordPress at mga plugin hanggang sa kasalukuyan.

7. Paggamit ng Plain FTP sa halip ng SFTP / SSH

SFTP sa halip na FTP

Ginagamit ang mga FTP account upang mag-upload ng mga file sa iyong web server gamit ang isang FTP client. Karamihan sa mga hosting provider ay sumusuporta sa mga koneksyon sa FTP gamit ang iba’t ibang mga protocol. Maaari kang kumonekta gamit ang plain FTP, SFTP, o SSH.

Kapag kumonekta ka sa iyong site gamit ang plain FTP, ang iyong password ay ipinadala sa server na hindi naka-encrypt. Maaari itong tiktikan at madaling ninakaw. Sa halip na gumamit ng FTP, dapat mong palaging gumamit ng SFTP o SSH.

Hindi mo na kailangang baguhin ang iyong FTP client. Karamihan sa mga kliyente ng FTP ay maaaring kumonekta sa iyong website sa SFTP pati na rin sa SSH. Kailangan mo lang baguhin ang protocol sa ‘SFTP – SSH’ kapag kumokonekta sa iyong website.

8. Paggamit ng Admin bilang WordPress Username

Ang paggamit ng ‘admin’ bilang iyong WordPress username ay hindi inirerekomenda. Kung ang username ng iyong administrator ay admin, dapat mong agad na baguhin ito sa ibang username.

Para sa detalyadong mga tagubilin suriin ang aming tutorial sa kung paano baguhin ang iyong username sa WordPress.

9. Mga Nulled Themes at Plugins

Malware

Maraming mga website sa internet na namamahagi ng mga bayad na plugin ng WordPress at mga tema nang libre. Minsan madaling matukso na gamitin ang mga nulled na plugin at tema sa iyong site.

Ang pag-download ng mga tema at plugin ng WordPress mula sa hindi mapagkakatiwalaang mga mapagkukunan ay mapanganib. Hindi lamang maaari nilang ikompromiso ang seguridad ng iyong website, ngunit maaari rin silang magamit upang magnakaw ng sensitibong impormasyon.

Dapat mong palaging mag-download ng mga plugin ng WordPress at tema mula sa maaasahang mga mapagkukunan tulad ng website ng website ng plugin / tema o opisyal na mga repositori na WordPress.

Kung hindi mo kayang bayaran o ayaw mong bumili ng isang premium na plugin o tema, pagkatapos ay palaging may mga libreng alternatibong magagamit para sa mga produktong iyon. Ang mga libreng plugin ay maaaring hindi kasing ganda ng kanilang mga bayad na katapat, ngunit gagawin nila ang trabaho at pinaka-mahalaga panatilihing ligtas ang iyong website.

Maaari ka ring makahanap ng mga diskwento para sa marami sa mga tanyag na produkto ng WordPress sa seksyon ng deal sa aming website.

10. Hindi Pag-secure ng Configurasyon ng WordPress wp-config.php File

Ang WordPress konfigurasi file wp-config.php ay naglalaman ng iyong mga kredensyal sa pag-login sa kredensyal sa WordPress. Kung ito ay nakompromiso, pagkatapos ay ibubunyag nito ang impormasyon na maaaring magbigay ng isang kumpletong pag-access sa isang hacker sa iyong website.

Maaari kang magdagdag ng isang labis na layer ng proteksyon sa pamamagitan ng pagtanggi sa pag-access sa wp-config file gamit ang .htaccess. Idagdag lamang ang maliit na code sa iyong .htaccess file.

payagan ang order, tanggihan
tanggihan mula sa lahat

11. Hindi Pagbabago ng Talahanayan ng WordPress Table

Inirerekomenda ng maraming mga eksperto na dapat mong baguhin ang default na prefix ng talahanayan ng WordPress. Bilang default, gumagamit ang WordPress wp_ bilang isang prefix para sa mga talahanayan na nilikha nito sa iyong database. Makakakuha ka ng isang pagpipilian upang baguhin ito sa panahon ng pag-install.

Inirerekomenda na gumamit ka ng isang prefix na medyo mas kumplikado. Gawin itong mas mahirap para sa mga hacker na hulaan ang iyong mga pangalan sa talahanayan ng database.

Para sa detalyadong mga tagubilin, tingnan ang aming gabay sa kung paano baguhin ang prefix ng database ng WordPress upang mapabuti ang seguridad.

Nililinis ang isang na-hack na Site ng WordPress

Ang paglilinis ng isang naka-hack na site ng WordPress ay maaaring maging masakit. Gayunpaman, maaari itong gawin.

Narito ang ilang mga mapagkukunan upang makapagsimula ka sa paglilinis ng isang naka-hack na site ng WordPress:

  • Patnubay ng nagsisimula sa pag-aayos ng iyong na-hack na site ng WordPress
  • Paano i-scan ang iyong site sa WordPress para sa potensyal na nakamamatay na code
  • kung paano makahanap ng isang backdoor sa isang hack na site ng WordPress at ayusin ito
  • Ano ang gagawin kapag naka-lock ka sa WordPress admin (wp-admin)
  • Patnubay ng nagsisimula: kung paano maibabalik ang WordPress mula sa backup

Mga Tip sa Bonus

Para sa solidong seguridad ng bato, ginagamit namin ang Sucuri sa lahat ng aming mga site sa WordPress. Nagbibigay ang Sucuri ng mga serbisyo ng pagtuklas at pag-alis ng malware pati na rin ang isang website ng firewall na protektahan ang iyong website laban sa mga pinaka-karaniwang banta.

Tingnan kung paano tinulungan kami ni Sucuri na hadlangan ang 450,000 pag-atake ng WordPress sa loob ng 3 buwan

Inaasahan namin na ang artikulong ito ay nakatulong sa iyo na malaman ang nangungunang mga dahilan kung bakit nai-hack ang site ng WordPress. Maaari mo ring makita ang aming panghuli gabay sa seguridad ng WordPress upang maprotektahan ang iyong WordPress site.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map