Способы исправления 6 угроз безопасности в WordPress

Share on Pinterest
Share with your friends










Отправить
4
Всего

Способы исправления 6 угроз безопасности wordpress

WordPress – очень популярная CMS, созданная на основе программного обеспечения с полностью открытым исходным кодом. Весьма примечательным моментом является то, что существует огромное количество продвинутых пользователей, работающих с исходным кодом и они зачастую могут обнаружить баги в системе и различные угрозы безопасности быстрее собственно разработчиков. (Чем больше пользователей будет работать с CMS, тем более вероятной станет возможность обнаружить в ней различные уязвимости.)

Недостатком такой ситуации является то, что хакеры могут использовать открытость программного кода в недобрых целях. Если имеются какие-то слабости в ядре системы, темах или плагинах, которые вы используете, то хакеры смогут воспользоваться ими, даже не имея доступа к админке вашего сайта.

В данной статье будет рассказано о том, как исправить шесть угроз безопасности, которые изначально присутствуют в WordPress по умолчанию. (Возможно, вы уже предприняли некоторые меры предосторожности и исправили одну или две из них, но важно исправить все для того, чтобы минимизировать риск взлома.)

1. Сайт показывает, что вы используете WordPress и его версию

Убираем версию WordPress

По умолчанию в программном обеспечении WordPress будут содержаться строки кода, отображающие информацию о том, что ваш сайт создан на базе WordPress, а также будет указана её версия для тех, кто знает, где искать. В некоторых темах это даже может быть наглядно отображено на каждой странице вашего сайта.

В данном случае угроза безопасности заключается в том, что хакеры могут использовать ваш сайт для своих целей, а не для тех, для которых он предназначен. Если кто-нибудь найдёт уязвимости в ядре WordPress, темах или плагинах, он сможет воспользоваться ими и войти на ваш сайт своим путём. А если вы скрыли информацию о том, что ваш сайт создан на базе WordPress, то пользователи, ищущие сайты WordPress, могут пройти мимо вашего сайта.

Как исправить:

Чтобы исправить это, вы можете использовать плагин Hide My WP.

С помощью этого полезного маленького плагина вы сможете избежать на своём сервере ненужного трафика и сохранить свой сайт от нападений, предназначенных специально для сайтов WordPress.

2. Все знают, где находится страница админки

страница админки

Если вы всё-таки не скрываете информацию о том, что используете WordPress (например, с помощью плагина Hide My WP), хакеры будут знать, где можно взломать ваш сайт.

Как исправить:

Чтобы устранить эту угрозу и резко снизить риск взлома, а также для снижения нагрузки на сервер необходимо обезопасить свою страницу входа от ботов.

Имеется два основных способа сделать это:

  1. Изменить физическое расположение вашей страницы входа на какое-нибудь другое с помощью плагина (или нескольких строк кода).
  2. Ограничить доступ к вашей странице входа и админке по IP-адресам.

Вы можете сделать это с помощью плагина для безопасности. Обзор лучших плагинов смотрите здесь.

3. Использование стандартных префиксов таблиц

префиксы таблиц

Префиксы таблиц располагаются перед названиями таблиц в базе данных. Стандартным префиксом WordPress является wp_prefix. Если вы используете префикс таблиц по умолчанию, это облегчает доступ к вашему сайту хакерам, использующим возможности языка SQL. Хакеры точно знают, какую информацию надо вводить в базу данных для получения доступа к вашему сайту.

Как исправить:

К счастью, эту угрозу очень легко устранить. Если вы уже установили WordPress, используя по умолчанию wp_prefix, то можете легко изменить его с помощью плагина, например Sucuri. Прежде чем вы будете что-то менять, сделайте на всякий случай резервную копию вашей базы данных. Это можно сделать нажатием одной кнопки. Затем выберите новый префикс или дайте плагину сгенерировать этот префикс случайным образом.

Примечание: если вы только устанавливаете WordPress, то можете поменять префикс в процессе инсталляции.

4. Файлы тем и плагинов доступны для редактирования через панель управления

Файлы тем и плагинов доступны для редактирования

Если хакеры получат доступ к вашему сайту, то могут наделать много вреда. С помощью вредоносных программ они могут сделать ваш сайт участником DDoS-атак или другой незаконной активности, которая может закончиться занесением вашего сайта поисковыми системами в чёрный список и исключением его из поиска. Хакеры могут вносить изменения в ваш сайт, легко получая доступ к области админки.

Как исправить:

Вы можете добавить эту строку кода в ваш файл wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Можете использовать плагин безопасности, который сделает это для вас (он сам вставит эту строку кода). Единственная проблема заключается в том, что есть такие плагины, которые позволяют хакерам самим пользоваться этой возможностью! Продвинутый хакер может сам установить плагин, включить его и затем получить доступ к редактированию кода без доступа по FTP.

Если вы хотите тщательно защититься от подобной угрозы, то можете отключить обновления в темах и плагинах, добавив в файл wp-config.php такую строчку:

define( 'DISALLOW_FILE_MODS', true );

Но, очевидно, это будет означать, что вам придётся менять это значение на false каждый раз, когда вам понадобится обновить или установить плагин или тему (это не очень удобно).

5. WordPress имеет доступные настройки брандмауэра, которые могут позволить даже известным ботам совершить атаку

Настройки брандмауэра по умолчанию в WordPress и в самом деле весьма доступны. Это значит, что отдельные боты и нежелательные посетители могут получить зелёный свет на ваш сайт.

Как исправить:

Вы можете исправить это, установив опцию чёрного списка 5G для брандмауэра, либо скопировав его вручную в ваш файл .htaccess, либо установив плагин безопасности для оптимизации данного файла.

6. Неограниченное количество попыток входа в WordPress

По умолчанию в WordPress действительно имеется неограниченное количество попыток входа на сайт. Вы можете ограничить количество таких попыток при установке WordPress, но если вы этого не сделали, то это очень легко исправить.

Как исправить:

Установите плагин для ограничения количества попыток входа Limit Login Attempts.

Если вы уже защитили свой вход, разрешив доступ в панель управления лишь со своих собственных IP-адресов, то вам это уже не понадобится. Но если вы ещё и скроете адреса входных страниц, то это будет хорошей двойной защитой от потенциальных атак.

Заключение

Киберпреступность стремительно набирает обороты и в Интернете теперь не меньше преступников, чем в реальном мире. Увеличивается количество преступлений, связанных с кредитными картами и банковскими мошенничествами, растёт количество хакеров, и мы должны защищать себя и свои сайты, используя для этого все имеющиеся возможности.

Хотя при установке по умолчанию WordPress имеет некоторые уязвимости, вы можете решить практически любую вашу проблему, в том числе и угрозы безопасности, упомянутые в этой статье. Задав уникальное имя пользователя и надёжный пароль, установив плагин безопасности, отредактировав некоторые параметры и возможно, вставив одну-две строки кода, вы сможете значительно снизить риск взлома своего сайта или заражения его вредоносным ПО.

Принимали ли вы какие-нибудь меры для того, чтобы сделать свой сайт WordPress более безопасным? Какие? Пожалуйста, напишите ваши советы и рекомендации в комментариях.

Share on Pinterest
Share with your friends










Отправить
4
Всего


Похожие записи

Комментарии к “Способы исправления 6 угроз безопасности в WordPress”
  1. blits 06.10.2016
  2. blits 06.10.2016
  3. alexei_karpenko 06.10.2016
  4. alexei_karpenko 06.10.2016
  5. Fishka 06.10.2016
  6. Fishka 06.10.2016
  7. alexei_karpenko 06.10.2016
  8. alexei_karpenko 06.10.2016

Напишите ответ