11 galvenie iemesli, kāpēc WordPress vietnes tiek uzlauztas (un kā to novērst)

Nesen viens no lasītājiem mums jautāja, kāpēc WordPress vietnes tiek uzlauztas? Ir apbēdinoši uzzināt, ka jūsu WordPress vietne ir uzlauzta. Šajā rakstā mēs dalīsimies ar galvenajiem iemesliem, kāpēc WordPress vietne tiek uzlauzta, lai jūs varētu izvairīties no šīm kļūdām un aizsargāt savu vietni.


Kāpēc WordPress vietnes tiek uzlauztas?

Kāpēc hakeri ir mērķējuši uz WordPress??

Pirmkārt, tas nav tikai WordPress. Visas interneta vietnes ir neaizsargātas pret hakeru mēģinājumiem.

Iemesls, kāpēc WordPress vietnes ir izplatīts mērķis, ir tas, ka WordPress ir pasaulē populārākais vietņu veidotājs. Tas nodrošina vairāk nekā 31% no visām vietnēm, kas nozīmē simtiem miljonu vietņu visā pasaulē.

Šī milzīgā popularitāte dod hakeriem vieglu veidu, kā atrast mazāk drošas vietnes, lai viņi varētu to izmantot.

Hakeriem ir dažāda veida motīvi, lai uzlauztu vietni. Daži ir iesācēji, kuri tikai mācās izmantot mazāk drošas vietnes.

Dažiem hakeriem ir ļaunprātīgi nolūki, piemēram, izplatīt ļaunprātīgu programmatūru, izmantot vietni, lai uzbruktu citām vietnēm, vai surogātpastu internetā.

Ņemot to vērā, apskatīsim dažus galvenos WordPress vietņu uzlaušanas cēloņus un to, kā novērst jūsu vietnes uzlaušanas.

1. Nedroša tīmekļa mitināšana

Tāpat kā visas vietnes, arī WordPress vietnes tiek mitinātas tīmekļa serverī. Daži hostinga uzņēmumi pienācīgi nenodrošina savu hostinga platformu. Tas padara visas vietnes, kas tiek mitinātas viņu serveros, neaizsargātus pret hakeru mēģinājumiem.

To var viegli izvairīties, izvēloties savai vietnei labāko WordPress mitināšanas pakalpojumu sniedzēju. Tas nodrošina, ka jūsu vietne tiek mitināta drošā platformā. Pienācīgi droši serveri var bloķēt daudzos izplatītos uzbrukumus WordPress vietnēm.

Ja vēlaties ievērot īpašu piesardzību, ieteicams izmantot pārvaldītu WordPress mitināšanas pakalpojumu sniedzēju.

2. Vāju paroļu izmantošana

Vāju paroļu izmantošana

Paroles ir jūsu WordPress vietnes atslēgas. Jums jāpārliecinās, vai katram no šiem kontiem izmantojat spēcīgu unikālo paroli, jo tie visi var nodrošināt hakeriem pilnīgu piekļuvi jūsu vietnei.

  • Jūsu WordPress administratora konts
  • Tīmekļa mitināšanas vadības paneļa konts
  • FTP konti
  • MySQL datu bāze, ko izmanto jūsu WordPress vietnei
  • E-pasta konti, ko izmanto WordPress administratoram vai mitināšanas kontam

Visi šie konti ir aizsargāti ar parolēm. Izmantojot vājas paroles, hakeriem ir vieglāk uzlauzt paroles, izmantojot dažus pamata uzlaušanas rīkus.

To var viegli izvairīties, katram kontam izmantojot unikālas un spēcīgas paroles. Skatiet mūsu ceļvedi par labāko paroļu pārvaldības veidu WordPress iesācējiem, lai uzzinātu, kā pārvaldīt visas šīs spēcīgās paroles.

3. Neaizsargāta pieeja WordPress administratoram (wp-admin direktorijs)

WordPress administratora zona dod lietotājam piekļuvi dažādu darbību veikšanai jūsu WordPress vietnē. Tas ir arī visbiežāk uzbrukušais WordPress vietnes apgabals.

Atstājot to neaizsargātu, hakeri var izmēģināt dažādas pieejas, lai uzlauztu jūsu vietni. Jūs varat tos apgrūtināt, savai WordPress administratora direktorijai pievienojot autentifikācijas slāņus.

Vispirms aizsargājiet WordPress administratora zonu ar paroli. Tas pievieno papildu drošības slāni, un ikvienam, kurš mēģina piekļūt WordPress administratoram, būs jānorāda papildu parole.

Ja jūs darbināt WordPress vietni ar vairākiem autoriem vai vairākiem lietotājiem, jūs varat ieviest stingras paroles visiem jūsu vietnes lietotājiem. Varat arī pievienot divu faktoru autentifikāciju, lai hakeriem būtu vēl grūtāk iekļūt jūsu WordPress admin apgabalā.

4. Nepareizas faila atļaujas

Failu atļaujas

Failu atļaujas ir noteikumu kopums, ko izmanto jūsu tīmekļa serveris. Šīs atļaujas palīdz jūsu tīmekļa serverim kontrolēt piekļuvi jūsu vietnes failiem. Nepareizas failu atļaujas var dot hakerim piekļuvi šo failu rakstīšanai un mainīšanai.

Visiem jūsu WordPress failiem kā faila atļaujai jābūt 644 vērtībai. Visās jūsu WordPress vietnes mapēs faila atļaujai vajadzētu būt 755.

Lai uzzinātu, kā lietot šīs failu atļaujas, skatiet mūsu rokasgrāmatu par to, kā WordPress labot attēlu augšupielādes problēmu.

5. WordPress neatjaunināšana

Daži WordPress lietotāji baidās atjaunināt savas WordPress vietnes. Viņi baidās, ka šādi rīkojoties, tiktu pārkāpta viņu vietne.

Katrā jaunajā WordPress versijā tiek novērstas kļūdas un drošības ievainojamības. Ja neatjaunināt WordPress, jūs tīšām atstājat savu vietni neaizsargātu.

Ja baidāties, ka atjauninājums sagraus jūsu vietni, pirms atjaunināšanas palaišanas varat izveidot pilnīgu WordPress dublējumu. Tādā veidā, ja kaut kas nedarbojas, varat viegli atgriezties pie iepriekšējās versijas.

6. Neatjaunina spraudņus vai motīvu

Tāpat kā galvenā WordPress programmatūra, arī motīva un spraudņu atjaunināšana ir vienlīdz svarīga. Izmantojot novecojušu spraudni vai motīvu, vietne var kļūt neaizsargāta.

Drošības trūkumi un kļūdas bieži tiek atklāti WordPress spraudņos un motīvos. Parasti motīvu un spraudņu autori tos ātri izlabo. Tomēr, ja lietotājs neatjaunina savu motīvu vai spraudni, viņi neko nevar darīt.

Pārliecinieties, ka WordPress tēma un spraudņi tiek atjaunināti.

7. Plain FTP izmantošana SFTP / SSH vietā

SFTP, nevis FTP

FTP konti tiek izmantoti, lai augšupielādētu failus uz jūsu tīmekļa serveri, izmantojot FTP klientu. Lielākā daļa hostinga pakalpojumu sniedzēju atbalsta FTP savienojumus, izmantojot dažādus protokolus. Jūs varat izveidot savienojumu, izmantojot vienkāršu FTP, SFTP vai SSH.

Kad jūs izveidojat savienojumu ar savu vietni, izmantojot vienkāršu FTP, jūsu parole tiek nosūtīta uz serveri nešifrēta. To var izskatīt un viegli nozagt. Tā vietā, lai izmantotu FTP, jums vienmēr vajadzētu izmantot SFTP vai SSH.

Jums nav jāmaina FTP klients. Lielākā daļa FTP klientu var izveidot savienojumu ar jūsu vietni SFTP, kā arī SSH. Pieslēdzoties savai vietnei, jums vienkārši jāmaina protokols uz “SFTP – SSH”.

8. Administratora izmantošana kā WordPress lietotājvārds

Nav ieteicams izmantot “admin” kā savu WordPress lietotājvārdu. Ja administratora lietotājvārds ir admin, jums tas nekavējoties jāmaina uz citu lietotājvārdu.

Lai iegūtu detalizētus norādījumus, skatiet mūsu apmācību par to, kā mainīt savu WordPress lietotājvārdu.

9. Nulled motīvi un spraudņi

Ļaunprātīga programmatūra

Internetā ir daudz vietņu, kas bez maksas izplata apmaksātus WordPress spraudņus un motīvus. Dažreiz ir viegli radīt kārdinājumu savā vietnē izmantot šos nomainītos spraudņus un motīvus.

WordPress motīvu un spraudņu lejupielāde no neuzticamiem avotiem ir ļoti bīstama. Tie var ne tikai apdraudēt jūsu vietnes drošību, bet arī izmantot slepenas informācijas nozagšanai.

Jums vienmēr vajadzētu lejupielādēt WordPress spraudņus un motīvus no uzticamiem avotiem, piemēram, spraudņu / motīvu izstrādātāju vietnes vai oficiālajām WordPress krātuvēm..

Ja nevarat atļauties vai nevēlaties iegādāties premium spraudni vai motīvu, šiem produktiem vienmēr ir pieejamas bezmaksas alternatīvas. Šie bezmaksas spraudņi var nebūt tik labi kā viņu apmaksātie kolēģi, taču viņi veiks darbu un, pats galvenais, nodrošinās jūsu vietnes drošību.

Arī mūsu vietnes sadaļu piedāvājumi varat atrast atlaides daudziem populāriem WordPress produktiem.

10. WordPress konfigurācijas nenodrošināšana wp-config.php File

WordPress konfigurācijas failā wp-config.php ir jūsu WordPress datu bāzes pieteikšanās akreditācijas dati. Ja tas tiek apdraudēts, tas atklās informāciju, kas hakerim varētu dot pilnīgu piekļuvi jūsu vietnei.

Jūs varat pievienot papildu aizsardzības slāni, liedzot piekļuvi wp-config failam, izmantojot .htaccess. Vienkārši pievienojiet šo mazo kodu failam .htaccess.

rīkojums atļauj, noliedz
noliegt no visiem

11. Nemaina WordPress tabulas prefiksu

Daudzi eksperti iesaka mainīt noklusējuma WordPress tabulas prefiksu. Pēc noklusējuma WordPress izmanto wp_ kā prefiksu tabulām, kuras tas izveido datu bāzē. Jūs saņemat iespēju to mainīt instalēšanas laikā.

Ieteicams izmantot prefiksu, kas ir nedaudz sarežģītāks. Tādējādi hakeriem būs grūtāk uzminēt jūsu datu bāzes tabulas nosaukumus.

Lai iegūtu detalizētus norādījumus, skatiet mūsu rokasgrāmatu par to, kā mainīt WordPress datu bāzes prefiksu, lai uzlabotu drošību.

Uzlauztas WordPress vietnes tīrīšana

Uzlauztas WordPress vietnes tīrīšana var būt patiešām sāpīga. Tomēr to var izdarīt.

Šeit ir daži resursi, kā sākt darbu uzlauztas WordPress vietnes tīrīšanā:

  • Iesācēja ceļvedis, lai salabotu uzlauzto WordPress vietni
  • Kā skenēt jūsu WordPress vietni, lai noteiktu potenciāli ļaunprātīgu kodu
  • kā uzlauztā WordPress vietnē atrast sētas durvis un to labot
  • Ko darīt, kad esat bloķēts no WordPress administratora (wp-admin)
  • Iesācēja ceļvedis: kā atjaunot WordPress no dublējuma

Bonusa padoms

Lai nodrošinātu stabilu drošību, visās mūsu WordPress vietnēs mēs izmantojam Sucuri. Sucuri nodrošina ļaunprātīgas programmatūras atklāšanas un noņemšanas pakalpojumus, kā arī vietnes ugunsmūri, kas aizsargā jūsu vietni pret visizplatītākajiem draudiem.

Uzziniet, kā Sucuri mums palīdzēja bloķēt 450 000 WordPress uzbrukumu 3 mēnešu laikā

Mēs ceram, ka šis raksts jums palīdzēja uzzināt galvenos iemeslus, kāpēc WordPress vietne tiek uzlauzta. Jūs varat arī apskatīt mūsu galveno WordPress drošības rokasgrāmatu, lai aizsargātu savu WordPress vietni.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map