У меня есть много замечательных слов о WordPress. Это популярная во всем мире часть программного обеспечения с открытым исходным кодом, которая позволяет любому начать свой собственный блог или веб-сайт. Он достаточно мощный, чтобы его могли расширять опытные программисты, и в то же время достаточно прост, чтобы неграмотные люди могли извлечь из этого пользу. У нас даже есть мини-руководство по запуску вашего собственного сайта WordPress. .
Однако, как и в случае с любым программным обеспечением, связанным с Интернетом, всегда будут дыры в безопасности, требующие исправления. Даже если прошлые отверстия исправлены, новые элементы неизбежно будут вводить новые отверстия, и тогда эти отверстия необходимо исправить. Это процесс, который никогда не заканчивается, поэтому для вас так важно регулярно обновлять свой WordPress.
Обновление WordPress — лучший способ исправить последние уязвимости безопасности WordPress. Какие виды уязвимостей безопасности? Вот обзор наиболее распространенных из них, с которыми вы столкнетесь.
1. Стандартная учетная запись администратора
При первой установке WordPress ваша базовая учетная запись администратора будет называться «admin» с таким же простым паролем. Хранение учетных данных безопасности в их настройках по умолчанию может быть большой уязвимостью, потому что хакеры и взломщики будут знать, что это за настройки по умолчанию и, таким образом, будут легко их использовать.
На самом деле, это не проблема, уникальная для WordPress. Все, что поставляется с учетными данными по продукта. (такие как логины маршрутизатора или коды разблокировки телефона) по своей природе будет иметь эту уязвимость WordPress. Но в то время как маршрутизаторы и телефоны обычно требуют вашего физического присутствия для вреда, любой может взломать ваш сайт WordPress, если у них есть URL.
Так что ты можешь сделать? Самое простое решение — создать новую учетную запись администратора на своем сайте WordPress и удалить учетную запись «admin» по умолчанию. Это не оставляет никакой предсказуемости с точки зрения доступа администратора.
2. Префиксы базы данных по умолчанию
Когда WordPress впервые установлен, таблицы базы данных имеют префикс по умолчанию wp_ . Это сделано для того, чтобы все таблицы оставались организованными в вашей базе данных на случай, если вы работаете с другими программными пакетами в той же базе данных. Wp_ означает, что эти конкретные таблицы связаны с WordPress.
Но в этом-то и заключается подвох — если хакер пытается связываться с вашим сайтом WordPress, то эта часть предсказуемости автоматически делает его на шаг ближе к подделке таблиц вашей базы данных. Зная имена таблиц вашей базы данных, хакер может вручную ткнуть в нее, пока не получит доступ.
Думайте об этом так. Предположим, что вор хочет украсть что-то из вашего дома, но ваш дом оборудован специальными дверями со скрытыми замочными скважинами, пока вы не назовете правильное «имя» для этой двери. Если вор знает, что ваша дверь зовется «Сэнди», то все, что ему нужно сделать, это взломать замок, но если вор не знает, как называется ваша дверь, ему нужно сначала как-то выяснить это, прежде чем он сможет даже начать возьми.
Так что ты можешь сделать? Просто. WordPress позволяет устанавливать с использованием префикса таблицы, который отличается от префикса по умолчанию .
3. Доступные файлы и каталоги
На любом веб-сайте количество файлов, к которым вы действительно хотите, чтобы пользователи обращались, намного меньше, чем количество файлов, необходимых для работы этого веб-сайта. У вас может быть много функциональных файлов, файлов классов, файлов шаблонов, файлов конфигурации и т. Д., Ни один из которых не должен быть общедоступным. То же самое относится и к каталогам.
Используя CHMOD, вы можете устанавливать разрешения для различных файлов и каталогов, чтобы предотвратить доступ нежелательных пользователей к конфиденциальным материалам. Например, если у пользователя есть доступ к вашему файлу конфигурации, он может изменить ваши настройки WordPress и взломать ваш сайт. WordPress уязвим, когда файлы и каталоги вашего сайта не защищены необходимыми настройками разрешений.
Так что ты можешь сделать? На самом деле мне пришлось столкнуться с этой проблемой недавно, и исправить это не слишком сложно. Убедитесь, что ваша установка WordPress соответствует схеме разрешений WordPress .
4. SQL-инъекции и угон
SQL-инъекции не являются уникальными для WordPress; фактически они являются одной из наиболее распространенных (и разрушительных) форм атак на веб-серверы в мире. Не знакомы с термином? Дайте мое введение в статью SQL-инъекции быстрый взгляд, чтобы дать себе общее представление о проблеме.
По сути, WordPress на протяжении многих лет имел в своем коде несколько дыр в безопасности внедрения SQL-кода. Некоторые были исправлены, в то время как другие остаются незамеченными или необнаруженными. Если хакер получает доступ к одной из этих дыр, он может внедрить в вашу базу данных вредоносный код SQL, который можно использовать для кражи данных или просто для их полного удаления.
Так что ты можешь сделать? В этом-то и заключается подвох — если вы недостаточно хорошо подготовлены, чтобы знать, как победить SQL-инъекции, то у вас, вероятно, нет технических знаний для создания защиты. Вероятно, вы можете поискать плагины WordPress, которые могли бы устранить потенциальные дыры в инъекциях, но большинству пользователей просто нужно подождать следующего патча безопасности WordPress.
Рекомендуемые плагины
- WP Security Scan — этот плагин будет сканировать настройки вашего сайта и искать потенциальные уязвимости безопасности. Он охватывает все виды областей от прав доступа к файлам до дыр в базе данных, управления паролями и многое другое.
- WordPress File Monitor Plus — в случае, если кто-то получил доступ к файловой структуре вашего сайта, этот плагин сообщит вам об этом. Он регулярно отслеживает файлы и каталоги вашей системы и отмечает любые расхождения.
- WordPress Firewall 2 — этот плагин создает метафорическую стену вокруг вашего сайта, сканируя все введенные данные и трафик на предмет злонамеренных намерений. Это очень хорошо предотвращает такие атаки, как инъекции SQL и другие атаки на базы данных.
- Wordfence — Wordfence представляет собой плагин «все в одном», включающий защиту от вредоносных атак, антивирусное сканирование, брандмауэр и многое другое. Определенно стоит попробовать.
Вывод
Хотя WordPress может быть как открытым исходным кодом, так и широко популярным, это не значит, что он не лишен недостатков. Время от времени появляются уязвимости в WordPress, и когда одна из них исправлена, другая обычно появляется прямо за углом. С помощью тщательного мониторинга и предупреждающих действий вы можете минимизировать риск, с которым сталкивается ваш сайт WordPress.