11 glavnih razlogov, zakaj se strani WordPressa napadajo (in kako to preprečiti)

Pred kratkim nas je eden od naših bralcev vprašal, zakaj se mesta WordPressa zasukajo? Sramotno je ugotoviti, da je vaše spletno mesto WordPress vdrlo. V tem članku bomo delili glavne razloge, zakaj se spletno mesto WordPress hakira, zato se lahko izognete tem napakam in zaščitite spletno mesto.


Zakaj se mesta WordPressa vdrejo?

Zakaj so hakerji usmerjeni v WordPress?

Prvič, to ni samo WordPress. Vsa spletna mesta v internetu so občutljiva za poskuse vdorov.

Razlog, zakaj so spletna mesta v WordPressu pogosta tarča, je zato, ker je WordPress najbolj priljubljen graditelj spletnih mest na svetu. Pooblasti več kot 31% vseh spletnih mest, kar pomeni na stotine milijonov spletnih strani po vsem svetu.

Ta ogromna priljubljenost daje hekerjem preprost način, da najdejo manj varna spletna mesta, da bi ga lahko izkoristila.

Hekerji imajo različne motive za krajo spletnega mesta. Nekateri so začetniki, ki se šele učijo izkoriščati manj varna mesta.

Nekateri hekerji imajo zlonamerne namene, kot so distribucija zlonamerne programske opreme, uporaba spletnega mesta za napad na druga spletna mesta ali pošiljanje neželene pošte po internetu.

Glede na to si poglejmo nekaj glavnih vzrokov za to, da se WordPress spletna mesta ustavijo, in kako preprečiti, da bi vaše spletno mesto vdrlo.

1. Nevarno spletno gostovanje

Kot vsa spletna mesta tudi mesta WordPress gostijo na spletnem strežniku. Nekatera gostiteljska podjetja svoje gostiteljske platforme ne ustrezno zaščitijo. Zaradi tega so vsa spletna mesta, nameščena na njihovih strežnikih, ranljiva za poskuse vdora.

Temu se lahko enostavno izognemo z izbiro najboljšega ponudnika gostovanja WordPress za vaše spletno mesto. Zagotavlja, da vaše spletno mesto gostuje na varni platformi. Pravilno varni strežniki lahko blokirajo številne najpogostejše napade na spletna mesta WordPress.

Če želite biti še posebej previdni, priporočamo uporabo upravljanega ponudnika gostovanja WordPress.

2. Uporaba šibkih gesel

Uporaba šibkih gesel

Gesla so ključi vašega spletnega mesta WordPress. Prepričati se morate, da uporabljate močno edinstveno geslo za vsakega od naslednjih računov, ker lahko vsi hekerjem omogočijo popoln dostop do vašega spletnega mesta.

  • Vaš skrbniški račun za WordPress
  • Račun nadzorne plošče spletnega gostovanja
  • FTP računi
  • MySQL baza podatkov, ki se uporablja za vaše spletno mesto WordPress
  • E-poštni računi, ki se uporabljajo za skrbnika WordPressa ali računa za gostovanje

Vsi ti računi so zaščiteni z gesli. Uporaba šibkih gesel hekerjem olajša razbijanje gesel z uporabo nekaterih osnovnih orodij za taksist.

Temu se lahko enostavno izognete z edinstvenimi in močnimi gesli za vsak račun. Oglejte si naš vodič o najboljšem načinu upravljanja gesla za začetnike WordPress-a, če želite izvedeti, kako upravljati z vsemi močnimi gesli.

3. Nezaščiten dostop do skrbnika WordPress (wp-admin Directory)

Skrbniško območje WordPress omogoča uporabniku dostop do različnih dejanj na vašem mestu WordPress. To je tudi najpogosteje napadeno območje mesta WordPress.

Če ostane nezaščiten, lahko hekerji preizkusijo različne pristope za razbijanje vašega spletnega mesta. Lahko jim otežite tako, da v skrbniški imenik WordPress dodate plasti pristnosti.

Najprej morate zaščititi geslo za svoje WordPress skrbniško območje. To doda dodatno varnostno plast in vsi, ki poskušajo dostopati do skrbnika programa WordPress, bodo morali navesti dodatno geslo.

Če imate spletno mesto z več avtorji ali več uporabniki WordPress, potem lahko uveljavite močna gesla za vse uporabnike na svojem spletnem mestu. Dodate lahko tudi dvofaktorsko preverjanje pristnosti, da lahko hekerji še težje vstopijo v vaše administratorsko območje WordPress.

4. Nepravilna dovoljenja datotek

Dovoljenja datotek

Dovoljenja datotek so niz pravil, ki jih uporablja vaš spletni strežnik. Ta dovoljenja pomagajo vašemu spletnemu strežniku nadzor dostopa do datotek na vašem spletnem mestu. Nepravilna dovoljenja datotek lahko hekerju omogočijo pisanje in spreminjanje teh datotek.

Vse vaše WordPress datoteke morajo imeti 644 vrednost kot dovoljenje datoteke. Vse mape na vašem mestu WordPress bi morale imeti 755 dovoljenje za njihovo datoteko.

Glejte naš vodič o tem, kako odpraviti težavo s prenosom slik v WordPressu, če želite izvedeti, kako uporabiti ta dovoljenja za datoteke.

5. Ne posodabljajte WordPressa

Nekateri uporabniki WordPressa se bojijo posodabljanja svojih WordPress mest. Bojijo se, da bi s tem zlomili njihovo spletno mesto.

Vsaka nova različica WordPressa odpravlja napake in varnostne ranljivosti. Če WordPress ne posodabljate, namerno puščate spletno mesto ranljivo.

Če se bojite, da bo posodobitev zlomila vaše spletno mesto, potem lahko ustvarite popolno varnostno kopijo za WordPress, preden zaženete posodobitev. Če nekaj ne deluje, se lahko preprosto vrnete na prejšnjo različico.

6. Ne posodabljanje vtičnikov ali teme

Tako kot osnovna programska oprema WordPress je posodabljanje teme in vtičnikov enako pomembno. Uporaba zastarelega vtičnika ali teme lahko vaše spletno mesto naredi ranljivo.

Napake in napake v varnosti pogosto odkrijemo v vtičnikih in temah WordPress. Ponavadi jih avtorji tem in vtičnikov hitro odpravijo. Če pa uporabnik ne posodobi svoje teme ali vtičnika, potem s tem ne more storiti ničesar.

Poskrbite, da boste redno posodabljali svojo WordPress temo in vtičnike.

7. Uporaba navadnega FTP namesto SFTP / SSH

SFTP namesto FTP

Računi FTP se uporabljajo za nalaganje datotek na vaš spletni strežnik s pomočjo odjemalca FTP. Večina ponudnikov gostovanja podpira povezave FTP z uporabo različnih protokolov. Lahko se povežete z navadnimi FTP, SFTP ali SSH.

Ko se s svojim spletnim mestom povežete z navadnim FTP, se geslo pošlje strežniku nešifrirano. Lahko se vohuni in zlahka ukrade. Namesto FTP vedno uporabljajte SFTP ali SSH.

Ne bi vam bilo treba spremeniti odjemalca FTP Večina odjemalcev FTP se lahko na vašo spletno stran poveže tako na SFTP kot tudi na SSH. Ko se povežete s svojim spletnim mestom, morate protokol spremeniti v “SFTP – SSH”.

8. Uporaba skrbnika kot uporabniškega imena za WordPress

Uporaba ‘admin’ kot uporabniškega imena za WordPress ni priporočljiva. Če je vaše uporabniško ime skrbnik, ga morate nemudoma spremeniti v drugo uporabniško ime.

Za podrobna navodila si oglejte naše vadnico o tem, kako spremeniti svoje uporabniško ime za WordPress.

9. Razveljavljene teme in vtičniki

Zlonamerna programska oprema

Na spletu je veliko spletnih mest, ki brezplačno distribuirajo plačljive WordPress vtičnike in teme. Včasih se lahko zamikate, da uporabite te razveljavljene vtičnike in teme na svojem spletnem mestu.

Prenašanje tem in vtičnikov WordPress iz nezanesljivih virov je zelo nevarno. Ne le da lahko ogrozijo varnost vašega spletnega mesta, ampak jih lahko uporabljajo tudi za krajo občutljivih informacij.

Vedno morate prenesti vtičnike in teme WordPress iz zanesljivih virov, na primer s spletnega mesta za razvijalce vtičnikov / tem ali iz uradnih shramb WordPress.

Če si ne morete privoščiti ali ne želite kupiti premium vtičnika ali teme, so za te izdelke vedno na voljo brezplačne alternative. Ti brezplačni vtičniki morda niso tako dobri kot njihovi plačani kolegi, vendar bodo opravili delo in kar je najpomembneje, da bo vaše spletno mesto varno.

Popuste za številne priljubljene izdelke WordPress najdete tudi v razdelku ponudb na našem spletnem mestu.

10. Ne zaščitite konfiguracije WordPress datoteke wp-config.php

Konfiguracijska datoteka WordPress wp-config.php vsebuje vaše poverilnice za prijavo v bazo podatkov WordPress. Če je ogrožena, bo razkrila informacije, ki bi hekerju lahko omogočile popoln dostop do vašega spletnega mesta.

Dodate lahko dodatno zaščito, tako da onemogočite dostop do datoteke wp-config z uporabo .htaccess. Preprosto dodajte to malo kodo v datoteko .htaccess.

ukaz dovoli, zanika
zanikati od vseh

11. Ne spreminjajte predpone tabele WordPress

Mnogi strokovnjaki priporočajo, da spremenite privzeto predpono tabele WordPress. WordPress privzeto uporablja wp_ kot predpono za tabele, ki jih ustvari v vaši bazi podatkov. Med namestitvijo dobite možnost, da jo spremenite.

Priporočamo, da uporabite predpono, ki je nekoliko bolj zapletena. Tako bodo hekerji težje ugibali imena tabel vaše baze podatkov.

Za podrobna navodila glejte naš vodnik o tem, kako spremeniti predpono baze podatkov WordPress za izboljšanje varnosti.

Čiščenje vpadljivega mesta WordPress

Čiščenje vpadljivega mesta WordPress je lahko zelo boleče. Vendar pa je to mogoče storiti.

Tukaj je nekaj virov, s katerimi lahko začnete s čiščenjem vlomljenega mesta WordPress:

  • Vodnik za začetnike o popravljanju vašega vdrtega spletnega mesta WordPress
  • Kako skenirati vaše WordPress spletno mesto za morebitno zlonamerno kodo
  • kako najti zakulisje na vdrtem spletnem mestu WordPress in ga odpraviti
  • Kaj storiti, ko ste zaklenjeni iz skrbnika WordPressa (wp-admin)
  • Navodila za začetnike: kako obnoviti WordPress iz varnostne kopije

Bonus nasvet

Za trdno varnost uporabljamo Sucuri na vseh naših spletnih mestih WordPress. Sucuri ponuja storitve odkrivanja in odstranjevanja zlonamerne programske opreme ter požarni zid spletnega mesta, ki bo vaše spletno mesto zaščitil pred najpogostejšimi grožnjami.

Oglejte si, kako nam je Sucuri pomagal blokirati 450.000 napadov WordPressa v 3 mesecih

Upamo, da vam je ta članek pomagal spoznati glavne razloge, zakaj se spletno mesto WordPress zlomi. Morda boste želeli videti tudi naš najboljši varnostni vodnik za WordPress za zaščito vašega spletnega mesta WordPress.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me