Главная Новости

Как взламывают WordPress и что с этим делать?


Опубликовано: 02.09.2018

видео Как взламывают WordPress и что с этим делать?

КАК СОЗДАТЬ САЙТ (landing page) на WordPress? Создание сайта легко. По-шагам. Сделать сайт без html

Взломанный сайт — явление совсем не новое и довольно частое. В силу своей популярности, WordPress также “под прицелом” недобросовестных людей (хакеров), способных не только получить данные из Вашего сайта, но и нарушить его работу в целом.



Зачем взламывать сайт?

Владельцы небольших сайтов довольно часто уверены в том, что их ресурсом не заинтересуется какой-либо хакер. Но если говорить о хакерстве, то тут дело не столько в популярности сайта, сколько в в самой возможности его взломать. Это означает, что даже мелкий сайт является желанной целью для любого хакера.


ВЗЛОМ САЙТА и его защита: заражение вирусами — Максим Набиуллин

Интересно, что большинство атак на сайты автоматизировано. Это доказывает тот факт, что хакерам не важны размер и популярность Вашего веб-ресурса.

Зачем взламывать сайт?

Зачем же хакеры для этого тратят столько усилий и времени? Представьте ситуацию, когда имеется интернет-магазин, в котором хранится информация о кредитных картах покупателей. Безусловно, мотивы заполучить такие данные предельно ясны. Но что взять из простого блога, который не содержит ничего подобного? Ответ на этот вопрос довольно прост — для злоумышленника любой сайт может принести выгоду.


Как самому просто создать свой сайт бесплатно. Личный блог на Wordpress для заработка.

Рассмотрим способы использования взломанных веб-ресурсов.

Атаки Drive-by-downloads . Ваш сайт может быть использован для инфицирования компьютеров Ваших посетителей вредоносным ПО, собирающим и отправляющим злоумышленникам нужную им информацию.

Редиректы . Часто хакерами осуществляются перенаправления посетителей с взломанного сайта на другие.

Ресурсы компьютера . Системные ресурсы сервера Вашего хостинга также могут быть использованы для получения выгоды (рассылка спама, осуществление мощных атак, майнинг криптовалюты).

Как взламывают WordPress-сайты?

Для WordPress-сайтов наиболее частыми причинами взлома являются:

уязвимость хостинга; небезопасность тем; уязвимость плагинов; слабый пароль.

Как видите, даже плохая система безопасности Вашего хостинга может стать причиной взлома сайта. Особенно это актуально для shared-хостингов, на которых на одном сервере размещаются несколько сайтов. Проведя атаку на один из них, Ваш сайт тоже может попасть “под раздачу”.

Как обезопасить свой сайт?

Безопасность любого сайта зависит от предпринятых к нему мер безопасности. И WordPress не является исключением. Рассмотрим наиболее важные шаги, необходимые для обеспечения максимальной безопасности всего веб-ресурса.

Качественный хостинг

Как было сказано раньше, качество хостинга играет наиболее важную роль в безопасности. Помимо основных услуг, компания-хостер также должна обеспечивать регулярное сканирование всех файлов сайта на наличие вредоносного программного обеспечения и делать регулярные резервные копии. Кроме того, стоит обратить внимание на хостинги, которые специально оптимизированы на работу с CMS WordPress.

Регулярные резервные копии

Даже самый надежный хостинг не гарантирует Вам на 100%, что Ваш сайт не будет взломан. Такая вероятность существует всегда. Поэтому наличие полной его резервной копии поможет восстановить его работу в случае хакерской атаки или заражения вирусом. Из бесплатных решений резервного копирования наиболее популярны WordPress-плагины Duplicator или BackUpWordPress . Более детально работу с последним решением мы рассматривали в одной из наших прошлых статей.

Усиление данных авторизации

Слабые логин и пароль также могут стать причиной взлома сайта, особенно это актуально во время хакерской атаки, когда используется скрипт, который методом с помощью перебора определяет логин и пароль. Для этого важно регулярно предпринимать следующие шаги:

регулярно изменять пароль (особенно администратора); по возможности не использовать логин admin ; создать надежный пароль и хранить его в надежном месте; лимировать попытки авторизации (например, плагины Login LockDown или Login Security Solution ); задействовать 2-этапную аутентификацию, позволяющую осуществить вход в систему после введения кода подтверждения (например, плагины Duo Two-Factor Authentication , OpenID ); изменить адрес входа в админ-панель (об этом мы детально писали в одной из прошлых статей).

Изменение ключей безопасности

Что такое ключи безопасности, для чего они нужны и как их установить было детально описано в следующей статье .

Изменение префикса таблиц базы данных

Процесс изменения префикса таблиц также рассматривать не будем, так как он был описан в одном из наших предыдущих материалов.

Регулярное обновление “движка”

Понятно, что мы обновляем WordPress не только для того, чтобы получить новые функции, но и для того, чтоб избавиться от уязвимостей, которые присутствуют в устаревших версиях. Данный код, вставленный в файл wp-config.php , поможет Вам включить автоматическое обновление WordPress в случае выхода крупных релизов. define( 'WP_AUTO_UPDATE_CORE', true );

Скрытие версии WordPress

Для усиления безопасности следует скрыть версию WordPress. Это также было детально описано .

Правильное использование тем и плагинов

Бесспорно, отказываться от использования тех и других не имеет смысла, так как именно темы и плагины обеспечивают основной функционал сайта на WordPress. Единственное, что нужно, — это научится правильно их использовать. Для этого необходимо придерживаться ряда правил:

удалить неиспользуемые плагины и темы; регулярно обновлять темы и плагины; использовать темы и плагины исключительно с проверенных источников.

Надлежащие права файлов и папок

Если эти права выставлены неправильно, то третьи лица могут получить доступ к файлам. Вот, как они должны выглядеть в идеале:

755 или 750 для всех папок; 644 или 640 для файлов; 600 для wp-config.php .

Отключение редактора плагинов и тем

WordPress-редактор позволяет пользователям вносить изменения в файлы прямо в админ-панели, но это не только удобство, но и вред. Так что этот редактор лучше отключить и работать с файлами с помощью FTP -соединения. Для этого необходимо добавить следующий код в файл wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

Отключение PHP-отчетов

Если в плагине или теме произошла ошибка, то всплывет сообщение, которое содержит информацию о Ваших директориях и системных файлах, которой могут воспользоваться хакеры. Чтоб их отключить, нужно этот код в файл wp-config.php :

error_reporting(0); @ini_set('display_errors', 0);

В качестве заключения

Любой из перечисленных выше методов по отдельности не способен гарантировать Вам полную безопасность Вашего WordPress-сайта. Но комплексный подход обеспечит максимальную его защиту, гарантируя стабильность функционирования веб-ресурса в целом.

Если Вам понравилась статья — поделитесь с друзьями

rss