11 Sebab Teratas Mengapa Laman WordPress Diretas (dan Cara Mencegahnya)

Baru-baru ini, salah seorang pembaca kami bertanya kepada kami mengapa laman WordPress diretas? Mengecewakan apabila mengetahui bahawa laman WordPress anda telah diretas. Dalam artikel ini, kami akan berkongsi sebab utama mengapa laman WordPress diretas, jadi anda dapat mengelakkan kesilapan ini dan melindungi laman web anda.


Mengapa laman web WordPress digodam?

Mengapa WordPress Disasarkan oleh Penggodam?

Pertama, ia bukan hanya WordPress. Semua laman web di internet terdedah kepada cubaan penggodaman.

Sebab mengapa laman web WordPress menjadi sasaran umum adalah kerana WordPress adalah pembangun laman web yang paling popular di dunia. Ia menguasai lebih dari 31% dari semua laman web yang bermaksud ratusan juta laman web di seluruh dunia.

Populariti yang luar biasa ini memberi penggodam cara mudah untuk mencari laman web yang kurang selamat, sehingga mereka dapat memanfaatkannya.

Peretas mempunyai pelbagai jenis motif untuk menggodam laman web. Sebilangannya adalah pemula yang baru belajar mengeksploitasi laman web yang kurang selamat.

Beberapa penggodam mempunyai niat jahat seperti menyebarkan perisian hasad, menggunakan laman web untuk menyerang laman web lain, atau menghantar spam ke internet.

Dengan itu, mari kita lihat beberapa penyebab utama laman WordPress diretas, dan bagaimana untuk mengelakkan laman web anda digodam.

1. Web Hosting Tidak Selamat

Seperti semua laman web, laman WordPress dihoskan di pelayan web. Beberapa syarikat hosting tidak mengamankan platform hosting mereka dengan betul. Ini menjadikan semua laman web yang dihoskan di pelayan mereka rentan terhadap percubaan penggodaman.

Ini dapat dielakkan dengan mudah dengan memilih penyedia hosting WordPress terbaik untuk laman web anda. Ini memastikan bahawa laman web anda dihoskan di platform yang selamat. Pelayan yang selamat dapat menyekat banyak serangan yang paling biasa di laman WordPress.

Sekiranya anda ingin berhati-hati, maka kami cadangkan menggunakan penyedia hosting WordPress yang diuruskan.

2. Menggunakan Kata Laluan Lemah

Menggunakan kata laluan yang lemah

Kata laluan adalah kunci untuk laman WordPress anda. Anda perlu memastikan bahawa anda menggunakan kata laluan unik yang kuat untuk setiap akaun berikut kerana semuanya dapat memberikan akses penuh kepada peretas ke laman web anda.

  • Akaun pentadbir WordPress anda
  • Akaun panel kawalan hosting web
  • Akaun FTP
  • Pangkalan data MySQL yang digunakan untuk laman WordPress anda
  • Akaun e-mel yang digunakan untuk pentadbir WordPress atau akaun hosting

Semua akaun ini dilindungi oleh kata laluan. Menggunakan kata laluan yang lemah memudahkan penggodam memecahkan kata laluan menggunakan beberapa alat penggodam asas.

Anda boleh mengelakkannya dengan mudah dengan menggunakan kata laluan yang unik dan kuat untuk setiap akaun. Lihat panduan kami mengenai kaedah terbaik untuk menguruskan kata laluan untuk pemula WordPress untuk mengetahui cara mengurus semua kata laluan yang kuat.

3. Akses Tanpa Perlindungan ke Pentadbir WordPress (Direktori wp-admin)

Kawasan pentadbir WordPress memberi pengguna akses untuk melakukan tindakan yang berbeza di laman WordPress anda. Ia juga merupakan kawasan yang paling sering diserang di laman WordPress.

Membiarkannya tidak dilindungi membolehkan penggodam mencuba pelbagai pendekatan untuk memecahkan laman web anda. Anda boleh menyukarkan mereka dengan menambahkan lapisan pengesahan ke direktori pentadbir WordPress anda.

Mula-mula anda harus melindungi kata laluan kawasan pentadbir WordPress anda. Ini menambahkan lapisan keselamatan tambahan, dan sesiapa yang cuba mengakses pentadbir WordPress harus memberikan kata laluan tambahan.

Sekiranya anda menjalankan laman WordPress berbilang pengarang atau berbilang pengguna, maka anda boleh menerapkan kata laluan yang kuat untuk semua pengguna di laman web anda. Anda juga boleh menambahkan pengesahan dua faktor untuk menjadikannya lebih sukar bagi penggodam untuk memasuki kawasan pentadbir WordPress anda.

4. Kebenaran Fail Tidak Betul

Kebenaran fail

Kebenaran fail adalah sekumpulan peraturan yang digunakan oleh pelayan web anda. Kebenaran ini membantu pelayan web anda mengawal akses ke fail di laman web anda. Kebenaran fail yang salah dapat memberi akses kepada penggodam untuk menulis dan menukar fail-fail ini.

Semua fail WordPress anda harus mempunyai nilai 644 sebagai kebenaran fail. Semua folder di laman WordPress anda harus mempunyai 755 sebagai kebenaran failnya.

Lihat panduan kami mengenai cara memperbaiki masalah muat naik gambar di WordPress untuk mengetahui cara menerapkan kebenaran fail ini.

5. Tidak Mengemas kini WordPress

Sebilangan pengguna WordPress takut untuk mengemas kini laman WordPress mereka. Mereka khuatir tindakan itu akan merosakkan laman web mereka.

Setiap versi baru WordPress memperbaiki bug dan kelemahan keselamatan. Sekiranya anda tidak mengemas kini WordPress, anda sengaja membiarkan laman web anda rentan.

Sekiranya anda takut kemas kini akan merosakkan laman web anda, maka anda boleh membuat sandaran WordPress yang lengkap sebelum menjalankan kemas kini. Dengan cara ini, jika sesuatu tidak berfungsi, anda boleh kembali ke versi sebelumnya dengan mudah.

6. Tidak Mengemas kini Plugin atau Tema

Sama seperti perisian WordPress teras, mengemas kini tema dan pemalam anda juga sama pentingnya. Menggunakan plugin atau tema yang sudah lapuk dapat menjadikan laman web anda rentan.

Kekurangan dan pepijat keselamatan sering dijumpai dalam plugin dan tema WordPress. Biasanya, pengarang tema dan pemalam cepat memperbaikinya. Walau bagaimanapun, jika pengguna tidak mengemas kini tema atau pemalam mereka, maka tidak ada yang dapat mereka lakukan mengenainya.

Pastikan anda mengekalkan tema dan pemalam WordPress anda terkini.

7. Menggunakan FTP Plain dan bukannya SFTP / SSH

SFTP dan bukannya FTP

Akaun FTP digunakan untuk memuat naik fail ke pelayan web anda menggunakan klien FTP. Sebilangan besar penyedia hosting menyokong sambungan FTP menggunakan protokol yang berbeza. Anda boleh berhubung menggunakan FTP biasa, SFTP, atau SSH.

Apabila anda menyambung ke laman web anda menggunakan FTP biasa, kata laluan anda dihantar ke pelayan yang tidak disulitkan. Ia boleh diintip dan dicuri dengan mudah. Daripada menggunakan FTP, anda harus selalu menggunakan SFTP atau SSH.

Anda tidak perlu menukar klien FTP anda. Sebilangan besar pelanggan FTP boleh menyambung ke laman web anda di SFTP dan juga SSH. Anda hanya perlu menukar protokol menjadi ‘SFTP – SSH’ semasa menyambung ke laman web anda.

8. Menggunakan Pentadbir sebagai Nama Pengguna WordPress

Tidak digalakkan menggunakan ‘admin’ sebagai nama pengguna WordPress anda. Sekiranya nama pengguna pentadbir anda adalah pentadbir, maka anda harus segera menukarnya menjadi nama pengguna lain.

Untuk arahan terperinci, lihat tutorial kami mengenai cara menukar nama pengguna WordPress anda.

9. Tema dan Pemalam yang Tidak Ada

Perisian hasad

Terdapat banyak laman web di internet yang mengedarkan plugin dan tema WordPress berbayar secara percuma. Kadang-kadang mudah tergoda untuk menggunakan plugin dan tema kosong di laman web anda.

Memuat turun tema dan pemalam WordPress dari sumber yang tidak dipercayai sangat berbahaya. Mereka bukan sahaja boleh menjejaskan keselamatan laman web anda, tetapi juga dapat digunakan untuk mencuri maklumat sensitif.

Anda harus selalu memuat turun plugin dan tema WordPress dari sumber yang boleh dipercayai seperti laman web pemaju tema / plugin atau repositori rasmi WordPress.

Sekiranya anda tidak mampu atau tidak mahu membeli plugin atau tema premium, maka selalu ada alternatif percuma untuk produk tersebut. Plugin percuma ini mungkin tidak sebanding dengan rakan berbayar mereka, tetapi mereka akan menyelesaikan tugasnya dan yang paling penting memastikan laman web anda selamat.

Anda juga boleh mendapatkan potongan harga untuk banyak produk WordPress yang popular di bahagian tawaran di laman web kami.

10. Tidak Memastikan Konfigurasi WordPress wp-config.php File

Fail konfigurasi WordPress wp-config.php mengandungi kelayakan log masuk pangkalan data WordPress anda. Sekiranya ia dikompromikan, maka ia akan mendedahkan maklumat yang dapat memberi peretas akses penuh ke laman web anda.

Anda boleh menambahkan lapisan perlindungan tambahan dengan menolak akses ke fail wp-config menggunakan .htaccess. Cukup tambahkan kod kecil ini ke fail .htaccess anda.

perintah membenarkan, menolak
menafikan dari semua

11. Tidak Menukar Awalan Jadual WordPress

Ramai pakar mengesyorkan agar anda menukar awalan jadual WordPress lalai. Secara lalai, WordPress menggunakan wp_ sebagai awalan untuk jadual yang dibuatnya dalam pangkalan data anda. Anda mendapat pilihan untuk mengubahnya semasa pemasangan.

Sebaiknya gunakan awalan yang sedikit lebih rumit. Ini akan menyukarkan penggodam untuk meneka nama jadual pangkalan data anda.

Untuk arahan terperinci, lihat panduan kami mengenai cara menukar awalan pangkalan data WordPress untuk meningkatkan keselamatan.

Membersihkan Laman WordPress yang digodam

Membersihkan laman WordPress yang diretas boleh menjadi sangat menyakitkan. Walau bagaimanapun, ia boleh dilakukan.

Berikut adalah beberapa sumber untuk memulakan anda membersihkan laman WordPress yang diretas:

  • Panduan pemula untuk memperbaiki laman WordPress anda yang digodam
  • Cara mengimbas laman WordPress anda untuk mendapatkan kod yang berpotensi berbahaya
  • bagaimana mencari pintu belakang di laman WordPress yang diretas dan memperbaikinya
  • Apa yang perlu dilakukan apabila anda terkeluar dari pentadbir WordPress (wp-admin)
  • Panduan pemula: cara memulihkan WordPress dari sandaran

Petua Bonus

Untuk keselamatan yang kukuh, kami menggunakan Sucuri di semua laman WordPress kami. Sucuri menyediakan perkhidmatan pengesanan dan penyingkiran malware serta firewall laman web yang akan melindungi laman web anda daripada ancaman yang paling biasa.

Lihat bagaimana Sucuri membantu kami menyekat 450,000 serangan WordPress dalam 3 bulan

Kami harap artikel ini dapat membantu anda mengetahui sebab utama laman web WordPress digodam. Anda mungkin juga ingin melihat panduan keselamatan WordPress utama kami untuk melindungi laman web WordPress anda.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me