W artykule:
- Dlaczego WordPress jest atakowany przez hakerów?
- 1. Niezabezpieczony Hosting
- 2. Używanie Słabych Haseł
- 3. Niezabezpieczony dostęp do WordPress Admin (katalog wp-admin)
- 4. Nieprawidłowe Uprawnienia Do Plików
- 5. Nie Aktualizuje WordPressa
- 6. Brak aktualizacji wtyczek lub motywu
- 7. Używanie zwykłego FTP zamiast SFTP / SSH
- 8. Używanie admina jako nazwy użytkownika WordPress
- 9. Nulled motywy i wtyczki
- 10. Nie zabezpieczanie konfiguracji WordPress wp-config.plik php
- 11. Nie Zmienia Prefiksu Tabeli WordPress
- Czyszczenie Zhakowanej witryny WordPress
- Wskazówka Bonusowa
Niedawno jeden z naszych czytelników zapytał nas, dlaczego witryny WordPress są hakowane? To frustrujące, aby dowiedzieć się, że Twoja witryna WordPress została zhakowana. W tym artykule udostępnimy najważniejsze powody, dla których witryna WordPress zostaje zhakowana, abyś mógł uniknąć tych błędów i chronić swoją witrynę.
Dlaczego WordPress jest atakowany przez hakerów?
Po pierwsze, to nie tylko WordPress. Wszystkie strony w Internecie są podatne na próby włamania.
Powodem, dla którego witryny WordPress są powszechnym celem, jest to, że WordPress jest najpopularniejszym na świecie narzędziem do tworzenia stron internetowych. Zasila ponad 31% wszystkich stron internetowych, co oznacza setki milionów stron internetowych na całym świecie.
Ta ogromna popularność daje hakerom łatwy sposób na znalezienie stron internetowych, które są mniej bezpieczne, aby mogli je wykorzystać.
Hakerzy mają różne motywy, aby zhakować stronę internetową. Niektórzy są początkujący, którzy dopiero uczą się wykorzystywać mniej bezpieczne witryny.
Niektórzy hakerzy mają złośliwe zamiary, takie jak rozpowszechnianie złośliwego oprogramowania, używanie witryny do atakowania innych witryn lub spamowanie Internetu.
Mając to na uwadze, przyjrzyjmy się niektórym z głównych przyczyn włamania do witryn WordPress i jak zapobiec włamaniu do witryny.
1. Niezabezpieczony Hosting
Podobnie jak wszystkie witryny, witryny WordPress są hostowane na serwerze internetowym. Niektóre firmy hostingowe nie odpowiednio zabezpieczają swojej platformy hostingowej. To sprawia, że wszystkie witryny hostowane na ich serwerach są podatne na próby włamania.
Można tego łatwo uniknąć, wybierając najlepszego dostawcę hostingu WordPress dla swojej witryny. Zapewnia, że Twoja witryna jest hostowana na bezpiecznej platformie. Odpowiednio bezpieczne serwery mogą blokować wiele najczęstszych ataków na witryny WordPress.
Jeśli chcesz zachować dodatkową ostrożność, zalecamy korzystanie z zarządzanego dostawcy hostingu WordPress.
2. Używanie Słabych Haseł
Hasła są kluczami do twojej witryny WordPress. Musisz upewnić się, że używasz silnego unikalnego hasła dla każdego z poniższych kont, ponieważ wszystkie mogą zapewnić hakerowi pełny dostęp do twojej witryny.
- Twoje konto administratora WordPress
- Web hosting Panel sterowania konto
- Konta FTP
- Baza danych MySQL używana dla Twojej witryny WordPress
- Konta e-mail używane dla konta administratora WordPress lub hostingu
Wszystkie te konta są chronione hasłami. Używanie słabych haseł ułatwia hakerom złamanie haseł przy użyciu podstawowych narzędzi hakerskich.
Możesz tego łatwo uniknąć, używając unikalnych i silnych haseł dla każdego konta. Zobacz nasz przewodnik na temat najlepszego sposobu zarządzania hasłami dla początkujących WordPress, aby dowiedzieć się, jak zarządzać wszystkimi tymi silnymi hasłami.
3. Niezabezpieczony dostęp do WordPress Admin (katalog wp-admin)
Obszar administracyjny WordPress zapewnia użytkownikowi dostęp do wykonywania różnych działań w witrynie WordPress. Jest to również najczęściej atakowany obszar witryny WordPress.
Pozostawienie go niezabezpieczonego pozwala hakerom wypróbować różne podejścia do złamania Twojej witryny. Możesz im to utrudnić, dodając warstwy uwierzytelniania do katalogu administratora WordPress.
Najpierw należy zabezpieczyć hasłem swój obszar administracyjny WordPress. Dodaje to dodatkową warstwę bezpieczeństwa, a każdy, kto próbuje uzyskać dostęp do administratora WordPress, będzie musiał podać dodatkowe hasło.
Jeśli prowadzisz witrynę WordPress dla wielu autorów lub wielu użytkowników, możesz wymusić silne hasła dla wszystkich użytkowników w swojej witrynie. Możesz także dodać uwierzytelnianie dwuskładnikowe, aby jeszcze trudniej hakerom wejść do obszaru administracyjnego WordPress.
4. Nieprawidłowe Uprawnienia Do Plików
Uprawnienia do plików to zestaw reguł używanych przez serwer WWW. Uprawnienia te pomagają serwerowi sieci Web kontrolować dostęp do plików w witrynie. Nieprawidłowe uprawnienia plików mogą dać hakerowi dostęp do zapisu i zmiany tych plików.
Wszystkie Twoje pliki WordPress powinny mieć wartość 644 jako pozwolenie na plik. Wszystkie foldery w Twojej witrynie WordPress powinny mieć uprawnienia do plików 755.
Zobacz nasz przewodnik, jak rozwiązać problem z przesyłaniem obrazów w WordPress, aby dowiedzieć się, jak zastosować te uprawnienia do plików.
5. Nie Aktualizuje WordPressa
Niektórzy użytkownicy WordPress boją się aktualizować swoje witryny WordPress. Obawiają się, że takie działanie zniszczy ich stronę internetową.
Każda nowa wersja WordPress naprawia błędy i luki w zabezpieczeniach. Jeśli nie aktualizujesz WordPressa, celowo pozostawiasz swoją witrynę podatną na ataki.
Jeśli obawiasz się, że aktualizacja zepsuje Twoją witrynę, możesz utworzyć kompletną kopię zapasową WordPress przed uruchomieniem aktualizacji. W ten sposób, jeśli coś nie działa, możesz łatwo powrócić do poprzedniej wersji.
6. Brak aktualizacji wtyczek lub motywu
Podobnie jak podstawowe oprogramowanie WordPress, aktualizacja motywu i wtyczek jest równie ważna. Korzystanie z przestarzałej wtyczki lub motywu może sprawić, że Twoja witryna będzie podatna na ataki.
Luki w zabezpieczeniach i błędy są często odkrywane w wtyczkach i motywach WordPress. Zwykle autorzy motywów i wtyczek szybko je naprawiają. Jeśli jednak użytkownik nie zaktualizuje swojego motywu lub wtyczki, nic nie może z tym zrobić.
Upewnij się, że Twój motyw i wtyczki WordPress są aktualne.
7. Używanie zwykłego FTP zamiast SFTP / SSH
Konta FTP służą do przesyłania plików na serwer WWW za pomocą klienta FTP. Większość dostawców hostingu obsługuje połączenia FTP przy użyciu różnych protokołów. Możesz połączyć się za pomocą zwykłego FTP, SFTP lub SSH.
Po połączeniu się z witryną za pomocą zwykłego FTP hasło jest wysyłane na serwer niezaszyfrowane. Można go szpiegować i łatwo ukraść. Zamiast używać FTP, zawsze powinieneś używać SFTP lub SSH.
Nie musisz zmieniać swojego klienta FTP. Większość klientów FTP może łączyć się z Twoją witryną zarówno na SFTP, jak i SSH. Wystarczy zmienić protokół na ‘SFTP-SSH’ podczas łączenia się z witryną.
8. Używanie admina jako nazwy użytkownika WordPress
Używanie “admin” jako nazwy użytkownika WordPress nie jest zalecane. Jeśli Twoja nazwa użytkownika administratora to admin, powinieneś natychmiast zmienić ją na inną nazwę użytkownika.
Aby uzyskać szczegółowe instrukcje, sprawdź nasz samouczek, Jak zmienić nazwę Użytkownika WordPress.
9. Nulled motywy i wtyczki
Istnieje wiele stron internetowych, które rozpowszechniają płatne wtyczki i motywy WordPress za darmo. Czasami łatwo jest ulec pokusie korzystania z tych zerowych wtyczek i motywów w Twojej witrynie.
Pobieranie motywów i wtyczek WordPress z niewiarygodnych źródeł jest bardzo niebezpieczne. Nie tylko mogą zagrozić bezpieczeństwu witryny, ale mogą również służyć do kradzieży poufnych informacji.
Zawsze powinieneś pobierać wtyczki i motywy WordPress z wiarygodnych źródeł, takich jak strona internetowa twórców wtyczek/motywów lub oficjalne repozytoria WordPress.
Jeśli nie możesz sobie pozwolić lub nie chcesz kupić wtyczki lub motywu premium, zawsze dostępne są darmowe alternatywy dla tych produktów. Te bezpłatne wtyczki mogą nie być tak dobre, jak ich płatne odpowiedniki, ale wykonają zadanie i co najważniejsze zapewnią bezpieczeństwo Twojej witryny.
Możesz również znaleźć zniżki na wiele popularnych produktów WordPress w sekcji oferty na naszej stronie internetowej.
10. Nie zabezpieczanie konfiguracji WordPress wp-config.plik php
Plik konfiguracyjny WordPress wp-config.php zawiera dane logowania do bazy danych WordPress. Jeśli zostanie naruszona, ujawni informacje, które mogą dać hakerowi pełny dostęp do twojej witryny.
Możesz dodać dodatkową warstwę ochrony, odmawiając dostępu do pliku wp-config za pomocą .htaccess. Po prostu dodaj ten mały kod do swojego .plik htaccess.
< pliki wp-config.php> order allow, deny zaprzecz wszystkim < / files>
11. Nie Zmienia Prefiksu Tabeli WordPress
Wielu ekspertów zaleca, aby zmienić domyślny prefiks tabeli WordPress. Domyślnie WordPress używa wp_ jako prefiks dla tabel, które tworzy w bazie danych. Możesz go zmienić podczas instalacji.
Zaleca się użycie prefiksu, który jest nieco bardziej skomplikowany. Utrudni to hakerom odgadnięcie nazw tabel bazy danych.
Aby uzyskać szczegółowe instrukcje, zobacz nasz przewodnik, jak zmienić prefiks bazy danych WordPress, aby poprawić bezpieczeństwo.
Czyszczenie Zhakowanej witryny WordPress
Czyszczenie zhakowanej witryny WordPress może być naprawdę bolesne. Jednak można to zrobić.
Oto kilka zasobów, które pomogą Ci zacząć sprzątać zhakowaną witrynę WordPress:
- Przewodnik dla początkujących, aby naprawić swoją zhakowaną witrynę WordPress
- Jak skanować witrynę WordPress w poszukiwaniu potencjalnie szkodliwego kodu
- jak znaleźć backdoor w zhakowanej witrynie WordPress i go naprawić
- Co zrobić, gdy jesteś zablokowany z WordPress admin (wp-admin)
- Przewodnik dla początkujących: jak przywrócić WordPress z kopii zapasowej
Wskazówka Bonusowa
Dla solidnego bezpieczeństwa używamy Sucuri na wszystkich naszych stronach WordPress. Sucuri oferuje usługi wykrywania i usuwania złośliwego oprogramowania, a także zaporę internetową, która ochroni Twoją witrynę przed najczęstszymi zagrożeniami.
Zobacz, jak Sucuri pomógł nam zablokować 450 000 ataków WordPress w 3 miesiące
Mamy nadzieję, że ten artykuł pomógł Ci poznać najważniejsze powody, dla których witryna WordPress zostaje zhakowana. Możesz również zobaczyć nasz najlepszy przewodnik bezpieczeństwa WordPress, aby chronić swoją witrynę WordPress.
Jeśli podoba Ci się ten artykuł, zasubskrybuj nasz kanał YouTube dla samouczków wideo WordPress. Znajdziesz nas również na Twitterze i Facebooku.