11 головних причин, чому сайти WordPress зламаються (і як це запобігти)

Нещодавно один з наших читачів запитав нас, чому сайти WordPress стають зламаними? Виявляє, що ваш сайт WordPress був зламаний, засмучує. У цій статті ми поділимося основними причинами, чому сайт WordPress отримує злом, тому ви можете уникнути цих помилок і захистити свій сайт.


Чому сайти WordPress зламаються?

Чому на WordPress націлені хакери?

По-перше, це не лише WordPress. Усі веб-сайти в Інтернеті вразливі до спроб злому.

Причина того, що сайти WordPress є загальною ціллю, полягає в тому, що WordPress – найпопулярніший в світі розробник веб-сайтів. Він наділяє понад 31% усіх веб-сайтів, тобто сотні мільйонів веб-сайтів по всьому світу.

Ця величезна популярність дає хакерам простий спосіб знайти веб-сайти, які є менш захищеними, і вони можуть використовувати це.

Хакери мають різного роду мотиви зламати веб-сайт. Деякі – початківці, які тільки навчаються експлуатувати менш безпечні сайти.

Деякі хакери мають зловмисні наміри, як розповсюдження зловмисного програмного забезпечення, використання сайту для атаки на інші веб-сайти або спам в Інтернеті.

З огляду на це, давайте подивимося на основні причини злому сайтів WordPress та як запобігти злому вашого веб-сайту..

1. Небезпечний веб-хостинг

Як і всі веб-сайти, веб-сайти WordPress розміщуються на веб-сервері. Деякі хостингові компанії належним чином не захищають свою хостингову платформу. Це робить усі веб-сайти, розміщені на їх серверах, вразливими до спроб злому.

Цього можна легко уникнути, вибравши найкращого постачальника послуг хостингу WordPress для вашого веб-сайту. Це гарантує розміщення вашого веб-сайту на безпечній платформі. Правильно захищені сервери можуть блокувати багато найпоширеніших атак на сайти WordPress.

Якщо ви хочете бути обережними, рекомендуємо скористатися керованим постачальником хостингу WordPress.

2. Використання слабких паролів

Використання слабких паролів

Паролі – це ключі до вашого сайту WordPress. Вам потрібно переконатися, що ви використовуєте надійний унікальний пароль для кожного з наступних облікових записів, оскільки всі вони можуть забезпечити повний доступ хакера до вашого веб-сайту.

  • Ваш обліковий запис адміністратора WordPress
  • Обліковий запис панелі управління веб-хостингом
  • Рахунки FTP
  • База даних MySQL, що використовується для вашого сайту WordPress
  • Облікові записи електронної пошти, які використовуються для адміністратора WordPress або облікового запису хостингу

Усі ці облікові записи захищені паролями. Використання слабких паролів полегшує хакерам зламати паролі за допомогою деяких основних інструментів злому.

Ви можете легко уникнути цього, використовуючи унікальні та надійні паролі для кожного облікового запису. Дивіться наш посібник щодо найкращого способу керування паролями для початківців WordPress, щоб дізнатися, як керувати всіма цими надійними паролями.

3. Незахищений доступ до адміністратора WordPress (wp-admin Directory)

Область адміністратора WordPress надає користувачеві доступ для виконання різних дій на вашому сайті WordPress. Це також найбільш часто атакований сайт на веб-сайті WordPress.

Якщо це не захищено, хакери можуть спробувати різні підходи, щоб зламати ваш веб-сайт. Ви можете ускладнити їх, додавши шари аутентифікації у свій адміністратор WordPress.

Спочатку слід захистити пароль адміністратором області WordPress. Це додає додатковий рівень захисту, і кожен, хто намагається отримати доступ до адміністратора WordPress, повинен буде надати додатковий пароль.

Якщо ви запускаєте багато авторський або багатокористувацький WordPress сайт, то ви можете застосувати надійні паролі для всіх користувачів вашого сайту. Ви також можете додати двофакторну автентифікацію, щоб зробити хакерам ще складніше вхід у вашу адміністраторну область WordPress.

4. Неправильні дозволи на файли

Дозволи файлів

Дозволи файлів – це набір правил, які використовує ваш веб-сервер. Ці дозволи допомагають вашому веб-серверу контролювати доступ до файлів на вашому сайті. Неправильні дозволи на файли можуть надати хакеру можливість писати та змінювати ці файли.

Усі ваші файли WordPress повинні мати 644 значення як дозвіл файлу. Усі папки на вашому сайті WordPress повинні мати 755 як їх дозвіл на файл.

Дивіться наш посібник про те, як виправити проблему із завантаженням зображення в WordPress, щоб дізнатися, як застосувати ці дозволи на файли.

5. Не оновлення WordPress

Деякі користувачі WordPress бояться оновлювати свої сайти WordPress. Вони бояться, що таким чином порушить їх веб-сайт.

Кожна нова версія WordPress виправляє помилки та вразливості безпеки. Якщо ви не оновлюєте WordPress, ви навмисно залишаєте свій сайт уразливим.

Якщо ви боїтесь, що оновлення порушить ваш веб-сайт, тоді ви можете створити повну резервну копію WordPress перед запуском оновлення. Таким чином, якщо щось не працює, ви можете легко повернутися до попередньої версії.

6. Не оновлення плагінів або теми

Так само як і основне програмне забезпечення WordPress, оновлення теми та плагінів не менш важливо. Використання застарілого плагіна або теми може зробити ваш сайт уразливим.

Недоліки та помилки безпеки часто виявляються у плагінах та темах WordPress. Зазвичай автори теми та плагінів швидко їх вирішують. Однак якщо користувач не оновлює свою тему чи плагін, вони нічого з цим не можуть зробити.

Переконайтесь, що ви постійно оновлюєте тему та плагіни WordPress.

7. Використання звичайного FTP замість SFTP / SSH

SFTP замість FTP

Облікові записи FTP використовуються для завантаження файлів на ваш веб-сервер за допомогою FTP-клієнта. Більшість хостинг-провайдерів підтримують FTP-з’єднання, використовуючи різні протоколи. Ви можете підключитися, використовуючи звичайний FTP, SFTP або SSH.

Коли ви підключаєтесь до свого сайту за допомогою звичайного FTP, ваш пароль надсилається на сервер незашифрованим. Його можна шпигувати і легко вкрасти. Замість використання FTP завжди слід використовувати SFTP або SSH.

Вам не потрібно буде змінювати свого FTP-клієнта. Більшість клієнтів FTP можуть підключитися до вашого веб-сайту як на SFTP, так і на SSH. Вам просто потрібно змінити протокол на “SFTP – SSH” під час підключення до вашого веб-сайту.

8. Використання адміністратора як імені WordPress

Використовувати “admin” як своє ім’я WordPress не рекомендується. Якщо ім’я користувача вашого адміністратора є адміністратором, вам слід негайно змінити це на інше ім’я користувача.

Щоб отримати докладні інструкції, ознайомтеся з нашим підручником про те, як змінити своє ім’я користувача WordPress.

9. Обнулені теми та плагіни

Зловмисне програмне забезпечення

В Інтернеті є багато веб-сайтів, які безкоштовно роздають платні плагіни та теми WordPress. Іноді легко спокуситись використовувати ці зведені плагіни та теми на вашому сайті.

Завантажувати теми та плагіни WordPress з ненадійних джерел дуже небезпечно. Вони не тільки можуть поставити під загрозу безпеку вашого веб-сайту, але також можуть бути використані для крадіжки конфіденційної інформації.

Ви завжди повинні завантажувати плагіни та теми WordPress з надійних джерел, таких як веб-сайт розробників плагінів / тем або офіційні сховища WordPress.

Якщо ви не можете дозволити собі або не хочете купувати преміальний плагін або тему, то для цих продуктів завжди доступні безкоштовні альтернативи. Ці безкоштовні плагіни можуть бути не настільки хорошими, як їхні платні колеги, але вони зроблять роботу і найголовніше збережуть ваш веб-сайт в безпеці.

Ви також можете знайти знижки на багато популярних продуктів WordPress у розділі угод на нашому веб-сайті.

10. Не безпечне налаштування WordPress файла wp-config.php файл

Файл конфігурації WordPress wp-config.php містить дані для входу в базу даних WordPress. Якщо це порушено, то він розкриє інформацію, яка може надати хакеру повний доступ до вашого веб-сайту.

Ви можете додати додатковий рівень захисту, заборонивши доступ до файлу wp-config за допомогою .htaccess. Просто додайте цей маленький код у файл .htaccess.

замовлення дозволяють, заперечують
заперечувати від усіх

11. Не зміна префікса таблиці WordPress

Багато експертів рекомендують змінити префікс таблиці WordPress за замовчуванням. За замовчуванням використовується WordPress wp_ як префікс таблиць, які він створює у вашій базі даних. Ви отримуєте можливість змінити його під час встановлення.

Рекомендується використовувати префікс, який трохи складніше. Це дозволить хакерам важче відгадати назви таблиці вашої бази даних.

Детальні вказівки див. У нашому посібнику про те, як змінити префікс бази даних WordPress для покращення безпеки.

Прибирання зламаного сайту WordPress

Прибирання зламаного сайту WordPress може бути дуже болючим. Однак це можна зробити.

Ось кілька ресурсів, щоб розпочати роботу з очищення зламаного сайту WordPress:

  • Посібник для початківців щодо виправлення зламаного сайту WordPress
  • Як сканувати ваш сайт WordPress на предмет потенційно шкідливого коду
  • як знайти задній простір на зламаному веб-сайті WordPress та виправити його
  • Що робити, коли ви заблоковані адміністратором WordPress (wp-admin)
  • Посібник для початківців: як відновити WordPress із резервного копіювання

Бонусна порада

Для надійної безпеки ми використовуємо Sucuri на всіх наших сайтах WordPress. Sucuri надає послуги з виявлення та видалення зловмисних програм, а також брандмауер веб-сайту, який захистить ваш веб-сайт від найпоширеніших загроз.

Подивіться, як Sucuri допоміг нам заблокувати 450 000 атак WordPress за 3 місяці

Ми сподіваємося, що ця стаття допомогла вам дізнатися основні причини, чому сайт WordPress зламається. Ви також можете ознайомитись з нашим основним посібником із безпеки WordPress для захисту вашого сайту WordPress.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map