🤪Начинаем создавать сайты без программирования😳

курс по вордпрессу
Темы & плагины

5 действительно важных уязвимостей в WordPress, о которых вы должны знать

Если вы читаете эту статью, то вы, либо: а) Уже используете WordPress ; б) Только собираетесь это сделать. WordPress прекрасная масштабируемая платформа, которую можно использовать для любых целей — от информирования клиентов о вашем бизнесе (создание сайта-визитки или блога) до онлайн-продажи ваших продуктов. Неудивительно, что WordPress используют на ~33% веб-сайтов.

Тем не менее, хотя WordPress и является известной платформой в Интернете, это еще не означает, что в ней отсутствуют уязвимости, которые могут угрожать вашему бизнесу, а также конфиденциальности и безопасности ваших клиентов.

Чтобы помочь вам быть в курсе событий и предоставить вам всю необходимую информацию для защиты вашего веб-сайта, сегодня мы собираемся изучить пять важных уязвимостей WordPress, которые могут угрожать вашему веб-сайту.

1. Открытая страница входа в WordPress

По умолчанию, введя URL-адрес любого веб-сайта WordPress, а затем «/ login», вы попадете на страницу входа администратора, которая соединит вас с серверной частью веб-сайта. Например, «www.website.ru/login» или «/ wp_login» или аналогичный вариант.

Оказавшись здесь, хакеры и злоумышленники могут приступить к брутфорсу (подбору) ваших паролей и адресов электронной почты и в конечном итоге, получить доступ к серверной части вашего сайта. Вместо этого измените этот URL с помощью плагина или отредактируйте код, чтобы скрыть страницу входа. Так же, можно настроить блокировку попыток входа в админку по IP, благодаря чему доступ к панели администратора возможен только с нескольких IP-адресов.

Возможные решения (плагины):

  • Login LockDown – быстро определяет подбор пароля и блокирует запрос с этого IP;
  • Revisium WordPress Theme Checker – определяет наиболее типичные способы взлома вашего шаблона, проверяет доступ к админ панели;

Так же, можно внедрить двухфакторную аутентификацию при входе в админку. Помимо ввода имени пользователя и пароля при входе в админку, нужно будет ввести еще специальный код подтверждения, отправленный вам на телефон.

Возможные решения (плагины):

  • Google Authenticator — Two Factor Authentication (2FA)
  • Duo Two-Factor Authentication
  • Rublon Two-Factor Authentication

2. Старая версия WordPress

Команда WordPress всегда советуют обновлять систему до самой новой версии. Так как разработчики постоянно анализируют причины успешных WP взломов и устраняют недоработки в новых версиях. Поэтому, установка новой версии (обновление WordPress) не только добавит дополнительные возможности на сайт, но также избавит вас от ошибок, обеспечив безопасность основного программного обеспечения. Если вы не обновите свое программное обеспечение до последней стабильной версии, это означает, что вы оставляете свой сайт уязвимым. Устанавливайте обновление незамедлительно, сразу после его выхода!

3. Плагины и темы с варезников

WordPress известен своим обширным набором тем и плагинов, которые могут полностью полностью поменять логику сайта и предоставить вам возможность создать сайт своей мечты. Тем не менее, нужно очень внимательно относится к установке плагинов и тем (шаблонов), которые были скачаны с неофициальных источников. Высока вероятность, что «плагин скачанный из интернета» сделает вам сюрприз , предоставив хакерам доступ к вашему сайту.

Возможные решения (плагины):

  • AntiVirus – сканер вредоносных программ, нагружает сервер, снижает скорость загрузки сайта, но обеспечивает надёжную защиту WordPress от вирусов.
  • Wordfence Security – анализатор, который проверяет ресурс на наличие «дыр» в безопасности WordPress. Можно настроить регулярное сканирование сайта, чтобы обезопасить себя от возникающих уязвимостей.
  • Sucuri Scanner – это один из признанных лидеров в сфере защиты сайтов на WordPress, он бесплатен и очень эффективен. Проводит в автоматическом режиме аудит безопасности сайта и проверяет наличие повреждений в системных файлах. Удаляет выявленный вредоносный код, осуществляет настройку сайта после взлома безопасности или инъекций кода.

4. Плохой хостинг

По неофициальной статистике , 40% взломов случаются по вине хостинг-провайдера. Цифра ужасная! Если вы делаете проект, которым действительно собираетесь заниматься — вкладывать свое время и деньги, либо на сайте есть конфиденциальные документы и персональные данные любого рода — не поскупитесь на нормальный хостинг. В целом, достаточно выбрать оптимальный для себя вариант из числа топовых хостеров. В России куча хороших провайдеров: reg.ru , timeweb.ru , beget.ru , masterhost и т.д..

5. Опасные эксплойты PHP

PHP — это тип кода, используемый во многих плагинах WordPress, и распространенный способ хакеров создавать или использовать угрозы безопасности на вашем сайте. Вот почему вам нужно быть на высоте, когда дело доходит до управления и поддержки вашего сайта. На вашем сайте должны быть только те плагины и темы, которые вы используете — все остальное удалить незамедлительно!

Резюме

Грамотная работа по развитию проекта, превентивные меры, анализ информационной среды и соблюдения мер защиты вашего сайта на WordPress поможет существенно снизить риски взлома.

курс по вордпрессу
Делюсь опытом работы с WordPress.
Подпишись, чтобы раз в неделю получать письмо с новостями и лайфхаками.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *