11 najważniejszych powodów, dla których witryny WordPress zostały zhakowane (i jak temu zapobiec)

Niedawno jeden z naszych czytelników zapytał nas, dlaczego włamano się na witryny WordPress? Dowiedzenie się, że Twoja witryna WordPress została zhakowana, jest frustrujące. W tym artykule przedstawimy najważniejsze przyczyny włamania do witryny WordPress, abyś mógł uniknąć tych błędów i chronić swoją witrynę.


Dlaczego hakowane są witryny WordPress?

Dlaczego hakerzy atakują WordPressa??

Po pierwsze, to nie tylko WordPress. Wszystkie strony internetowe są narażone na próby włamania.

Powodem, dla którego witryny WordPress są częstym celem, jest fakt, że WordPress to najpopularniejszy na świecie kreator stron internetowych. Obsługuje ponad 31% wszystkich stron internetowych, co oznacza setki milionów stron internetowych na całym świecie.

Ta ogromna popularność daje hakerom łatwy sposób na znalezienie stron internetowych, które są mniej bezpieczne, aby mogli je wykorzystać.

Hakerzy mają różne motywy do hakowania strony internetowej. Niektórzy są początkującymi, którzy dopiero uczą się korzystać z mniej bezpiecznych witryn.

Niektórzy hakerzy mają złośliwe zamiary, takie jak rozpowszechnianie złośliwego oprogramowania, wykorzystywanie witryny do atakowania innych witryn lub spamowanie Internetu.

Powiedziawszy to, rzućmy okiem na niektóre z głównych przyczyn włamania się do witryn WordPress i jak zapobiec włamaniu się do Twojej witryny.

1. Niebezpieczny hosting

Podobnie jak wszystkie strony internetowe, witryny WordPress są hostowane na serwerze internetowym. Niektóre firmy hostingowe nie zabezpieczają odpowiednio swojej platformy hostingowej. To sprawia, że ​​wszystkie witryny hostowane na ich serwerach są podatne na próby włamania.

Można tego łatwo uniknąć, wybierając najlepszego dostawcę hostingu WordPress dla swojej witryny. Zapewnia, że ​​Twoja witryna jest hostowana na bezpiecznej platformie. Właściwie bezpieczne serwery mogą blokować wiele najczęstszych ataków na strony WordPress.

Jeśli chcesz zachować szczególną ostrożność, zalecamy skorzystanie z zarządzanego dostawcy hostingu WordPress.

2. Używanie słabych haseł

Używanie słabych haseł

Hasła są kluczami do Twojej witryny WordPress. Musisz upewnić się, że używasz silnego, unikalnego hasła dla każdego z poniższych kont, ponieważ wszystkie one zapewniają hakerowi pełny dostęp do Twojej witryny.

  • Twoje konto administratora WordPress
  • Konto panelu sterowania hostingu
  • Konta FTP
  • Baza danych MySQL używana w witrynie WordPress
  • Konta e-mail używane dla konta administratora lub hostingu WordPress

Wszystkie te konta są chronione hasłem. Używanie słabych haseł ułatwia hakerom złamanie haseł za pomocą podstawowych narzędzi hakerskich.

Możesz tego łatwo uniknąć, używając unikatowych i silnych haseł dla każdego konta. Zobacz nasz przewodnik na temat najlepszego zarządzania hasłami dla początkujących użytkowników WordPress, aby dowiedzieć się, jak zarządzać wszystkimi silnymi hasłami.

3. Niezabezpieczony dostęp do WordPress Admin (wp-admin Directory)

Obszar administracyjny WordPress daje użytkownikowi dostęp do wykonywania różnych działań na stronie WordPress. Jest to również najczęściej atakowany obszar witryny WordPress.

Pozostawienie go bez ochrony umożliwia hakerom wypróbowanie różnych metod włamania do witryny. Możesz im to utrudnić, dodając warstwy uwierzytelnienia do katalogu administracyjnego WordPress.

Najpierw powinieneś zabezpieczyć hasłem swój obszar administracyjny WordPress. Dodaje to dodatkową warstwę bezpieczeństwa, a każdy, kto próbuje uzyskać dostęp do administratora WordPress, będzie musiał podać dodatkowe hasło.

Jeśli prowadzisz witrynę WordPress z wieloma autorami lub wieloma użytkownikami, możesz wymusić silne hasła dla wszystkich użytkowników w witrynie. Możesz także dodać uwierzytelnianie dwuskładnikowe, aby hakerom jeszcze trudniej było wejść do obszaru administracyjnego WordPress.

4. Nieprawidłowe uprawnienia do plików

Uprawnienia do plików

Uprawnienia do plików to zestaw reguł używanych przez serwer WWW. Te uprawnienia pomagają serwerowi sieciowemu kontrolować dostęp do plików w Twojej witrynie. Nieprawidłowe uprawnienia do plików mogą dać hakerowi dostęp do zapisu i zmiany tych plików.

Wszystkie twoje pliki WordPress powinny mieć wartość 644 jako uprawnienia do plików. Wszystkie foldery w witrynie WordPress powinny mieć 755 uprawnień do plików.

Zobacz nasz poradnik jak rozwiązać problem z przesyłaniem obrazu w WordPress, aby dowiedzieć się, jak zastosować te uprawnienia do plików.

5. Brak aktualizacji WordPress

Niektórzy użytkownicy WordPress boją się aktualizować swoje witryny WordPress. Boją się, że zrujnuje to ich stronę internetową.

Każda nowa wersja WordPress naprawia błędy i luki w zabezpieczeniach. Jeśli nie aktualizujesz WordPress, celowo narażasz swoją witrynę na ryzyko.

Jeśli obawiasz się, że aktualizacja spowoduje uszkodzenie witryny, możesz utworzyć pełną kopię zapasową WordPress przed uruchomieniem aktualizacji. W ten sposób, jeśli coś nie działa, możesz łatwo wrócić do poprzedniej wersji.

6. Brak aktualizacji wtyczek lub motywu

Podobnie jak podstawowe oprogramowanie WordPress, aktualizacja motywu i wtyczek jest równie ważna. Korzystanie z przestarzałej wtyczki lub motywu może narazić Twoją witrynę na niebezpieczeństwo.

Błędy i błędy bezpieczeństwa są często wykrywane we wtyczkach i motywach WordPress. Zazwyczaj autorzy motywów i wtyczek szybko je naprawiają. Jeśli jednak użytkownik nie zaktualizuje motywu ani wtyczki, nic nie może z tym zrobić.

Upewnij się, że Twój motyw i wtyczki WordPress są aktualne.

7. Używanie zwykłego FTP zamiast SFTP / SSH

SFTP zamiast FTP

Konta FTP służą do przesyłania plików na serwer internetowy za pomocą klienta FTP. Większość dostawców hostingu obsługuje połączenia FTP przy użyciu różnych protokołów. Możesz połączyć się za pomocą zwykłego FTP, SFTP lub SSH.

Gdy łączysz się ze swoją witryną za pomocą zwykłego FTP, twoje hasło jest wysyłane na serwer niezaszyfrowany. Można go szpiegować i łatwo ukraść. Zamiast korzystać z FTP, zawsze powinieneś używać SFTP lub SSH.

Nie musisz zmieniać swojego klienta FTP. Większość klientów FTP może łączyć się z Twoją witryną zarówno przez SFTP, jak i SSH. Musisz tylko zmienić protokół na „SFTP – SSH” podczas łączenia się z witryną.

8. Używanie administratora jako nazwy użytkownika WordPress

Użycie „admin” jako nazwy użytkownika WordPress nie jest zalecane. Jeśli nazwa użytkownika administratora to admin, należy natychmiast zmienić ją na inną nazwę użytkownika.

Szczegółowe instrukcje znajdują się w naszym samouczku na temat zmiany nazwy użytkownika WordPress.

9. Zerowane motywy i wtyczki

Złośliwe oprogramowanie

Istnieje wiele stron internetowych, które dystrybuują płatne wtyczki i motywy WordPress za darmo. Czasami łatwo jest ulec pokusie korzystania z tych zerowanych wtyczek i motywów w witrynie.

Pobieranie motywów i wtyczek WordPress z niepewnych źródeł jest bardzo niebezpieczne. Nie tylko mogą zagrozić bezpieczeństwu Twojej witryny, ale mogą również służyć do kradzieży poufnych informacji.

Zawsze należy pobierać wtyczki i motywy WordPress z wiarygodnych źródeł, takich jak strona deweloperów wtyczek / motywów lub oficjalne repozytoria WordPress.

Jeśli nie możesz sobie pozwolić lub nie chcesz kupować dodatkowej wtyczki lub motywu, zawsze są dostępne bezpłatne alternatywy dla tych produktów. Te bezpłatne wtyczki mogą nie być tak dobre jak ich płatne odpowiedniki, ale wykonają zadanie i, co najważniejsze, zapewnią bezpieczeństwo Twojej stronie.

Możesz również znaleźć rabaty na wiele popularnych produktów WordPress w sekcji ofert na naszej stronie internetowej.

10. Brak zabezpieczenia pliku WordPress Konfiguracja wp-config.php

Plik konfiguracyjny WordPress wp-config.php zawiera dane logowania do bazy danych WordPress. Jeśli zostanie to naruszone, ujawni informacje, które mogłyby dać hakerowi pełny dostęp do Twojej witryny.

Możesz dodać dodatkową warstwę ochrony, odmawiając dostępu do pliku wp-config za pomocą .htaccess. Po prostu dodaj ten mały kod do pliku .htaccess.

pozwolenie na zamówienie, odmowa
Odmowa od wszystkich

11. Nie zmienia prefiksu tabeli WordPress

Wielu ekspertów zaleca zmianę domyślnego prefiksu tabeli WordPress. Domyślnie WordPress używa wp_ jako przedrostek dla tabel, które tworzy w bazie danych. Możesz zmienić to podczas instalacji.

Zaleca się użycie nieco bardziej skomplikowanego prefiksu. Utrudni to hakerom odgadnięcie nazw tabel w bazie danych.

Aby uzyskać szczegółowe instrukcje, zobacz nasz przewodnik na temat zmiany prefiksu bazy danych WordPress w celu poprawy bezpieczeństwa.

Czyszczenie zaatakowanej witryny WordPress

Czyszczenie zaatakowanej witryny WordPress może być bardzo bolesne. Można to jednak zrobić.

Oto niektóre zasoby, które pomogą Ci rozpocząć czyszczenie zaatakowanej witryny WordPress:

  • Przewodnik dla początkujących, jak naprawić zhakowaną witrynę WordPress
  • Jak przeskanować witrynę WordPress w poszukiwaniu potencjalnie złośliwego kodu
  • jak znaleźć backdoora w zhakowanej witrynie WordPress i naprawić go
  • Co zrobić, gdy nie masz dostępu do WordPress admin (wp-admin)
  • Przewodnik dla początkujących: jak przywrócić WordPress z kopii zapasowej

Dodatkowa wskazówka

Aby zapewnić solidne bezpieczeństwo, używamy Sucuri na wszystkich naszych stronach WordPress. Sucuri zapewnia usługi wykrywania i usuwania złośliwego oprogramowania, a także zaporę internetową, która chroni Twoją witrynę przed najczęstszymi zagrożeniami.

Zobacz, jak Sucuri pomogło nam zablokować 450 000 ataków WordPress w ciągu 3 miesięcy

Mamy nadzieję, że ten artykuł pomógł ci poznać najważniejsze przyczyny włamania do witryny WordPress. Możesz także zapoznać się z naszym najlepszym przewodnikiem bezpieczeństwa WordPress, aby chronić swoją witrynę WordPress.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map