Недавно один из наших читателей спросил нас, почему сайты WordPress взламывают. Очень неприятно обнаружить, что ваш сайт WordPress был взломан. Хотя хакеры атакуют все сайты, возможно, вы допускаете некоторые ошибки, которые делают ваш сайт уязвимым для атак. В этой статье мы расскажем о главных причинах, почему сайт WordPress взламывают, чтобы вы могли избежать этих ошибок и защитить свой сайт.
Почему WordPress является мишенью для хакеров?
Во-первых, это касается не только WordPress. Все веб-сайты в Интернете уязвимы для попыток взлома. Причина того, что веб-сайты WordPress являются распространенной мишенью, заключается в том, что WordPress – это самый популярный в мире конструктор веб-сайтов. На нем работает более 43% всех сайтов, то есть сотни миллионов сайтов по всему миру. Такая огромная популярность дает хакерам возможность легко находить менее защищенные сайты, чтобы использовать их в своих целях. У хакеров есть разные мотивы для взлома веб-сайта. Некоторые из них – новички, которые только учатся использовать менее защищенные сайты. Другие преследуют злонамеренные цели, такие как распространение вредоносных программ, атака на другие сайты и рассылка спама. С учетом сказанного, давайте рассмотрим некоторые из основных причин взлома сайтов WordPress, чтобы вы могли узнать, как предотвратить взлом вашего сайта.
Небезопасный веб-хостинг
Как и все веб-сайты, сайты WordPress размещаются на веб-сервере. Некоторые хостинговые компании не обеспечивают надлежащую защиту своей хостинговой платформы. Это делает все сайты, размещенные на их серверах, уязвимыми для попыток взлома. Этого можно легко избежать, выбрав лучшего хостинг-провайдера WordPress для вашего сайта. Правильно защищенные серверы могут блокировать многие из наиболее распространенных атак на сайты WordPress.
Использование слабых паролей
Пароли – это ключи к вашему сайту WordPress. Вам необходимо убедиться, что вы используете надежный уникальный пароль для каждой из следующих учетных записей, поскольку все они могут предоставить хакеру полный доступ к вашему сайту.
- Ваша учетная запись администратора WordPress
- Ваша учетная запись в панели управления хостингом
- Ваши учетные записи FTP
- База данных MySQL, используемая для вашего сайта WordPress
- Все учетные записи электронной почты, используемые для администрирования WordPress и хостинга
Все эти учетные записи защищены паролями. Использование слабых паролей облегчает хакерам взлом паролей с помощью основных инструментов взлома. Вы можете легко избежать этого, используя уникальные и надежные пароли для каждой учетной записи.
Незащищенный доступ к админке WordPress (wp-admin)
Область администрирования WordPress предоставляет пользователю доступ к выполнению различных действий на вашем сайте WordPress. Она также является наиболее часто атакуемой областью сайта WordPress. Если оставить ее незащищенной, хакеры могут попробовать различные подходы для взлома вашего сайта. Вы можете усложнить им задачу, добавив уровни аутентификации в каталог администратора. Во-первых, следует защитить область администрирования WordPress паролем. Это добавляет дополнительный уровень безопасности, и каждый, кто пытается получить доступ к админке WordPress, должен будет предоставить дополнительный пароль. Если у вас многоавторский или многопользовательский сайт WordPress, то вы можете ввести сложные пароли для всех пользователей вашего сайта.
Неправильные разрешения файлов
Разрешения файлов – это набор правил, используемых вашим веб-сервером. Эти разрешения помогают вашему веб-серверу контролировать доступ к файлам на вашем сайте. Неправильные разрешения файлов могут дать хакеру доступ к записи и изменению этих файлов. Все ваши файлы WordPress должны иметь значение 644 в качестве разрешения файла. Все папки на вашем сайте WordPress должны иметь разрешение 755.
Не поддерживая WordPress в актуальном состоянии
Некоторые пользователи WordPress боятся обновлять свои сайты WordPress. Они боятся, что это приведет к поломке их сайта. Каждая новая версия WordPress устраняет ошибки и уязвимости в системе безопасности. Если вы не обновляете WordPress, значит, вы намеренно оставляете свой сайт уязвимым. Если вы боитесь, что обновление сломает ваш сайт, то вы можете создать полную резервную копию WordPress перед запуском обновления. Таким образом, если что-то не будет работать, вы сможете легко вернуться к предыдущей версии.
Не обновляются плагины или тема
Как и основное программное обеспечение WordPress, обновление темы и плагинов не менее важно. Использование устаревших плагинов или тем может сделать ваш сайт уязвимым. В плагинах и темах WordPress часто обнаруживаются недостатки и ошибки безопасности. Обычно авторы тем и плагинов быстро исправляют их. Однако если пользователь не обновляет свою тему или плагин, то он ничего не может с этим поделать. Убедитесь, что вы поддерживаете свою тему WordPress и плагины в актуальном состоянии.
Использование обычного FTP вместо SFTP/SSH
Учетные записи FTP используются для загрузки файлов на ваш веб-сервер с помощью FTP-клиента. Большинство хостинг-провайдеров поддерживают FTP-соединения по различным протоколам. Вы можете подключиться с помощью обычного FTP, SFTP или SSH. При подключении к сайту с помощью обычного FTP ваш пароль отправляется на сервер в незашифрованном виде. Это означает, что его можно подсмотреть и легко украсть. Вместо FTP всегда используйте SFTP или SSH. Вам не нужно менять FTP-клиент. Большинство FTP-клиентов могут подключаться к вашему сайту как по SFTP, так и по SSH. Вам просто нужно изменить протокол на ‘SFTP – SSH’ при подключении к вашему сайту.
Использование Admin в качестве имени пользователя WordPress
Использовать ‘admin’ в качестве имени пользователя WordPress не рекомендуется. Если ваше имя пользователя администратора – ‘admin’, то вам следует немедленно изменить его на другое имя пользователя.
Обнуленные темы и плагины
В интернете есть много сайтов, которые распространяют платные плагины и темы WordPress бесплатно. У вас может возникнуть соблазн использовать эти плагины и темы на своем сайте. Загружать темы и плагины WordPress из ненадежных источников очень опасно. Они не только могут поставить под угрозу безопасность вашего сайта, но и могут быть использованы для кражи конфиденциальной информации. Вы всегда должны загружать плагины и темы WordPress из надежных источников, таких как сайт разработчика или официальные репозитории WordPress. Если вы не можете позволить себе купить плагин или тему премиум-класса, то для них всегда есть бесплатные альтернативы. Эти бесплатные плагины могут быть не так хороши, как их платные аналоги, но они выполнят свою работу и, самое главное, обеспечат безопасность вашего сайта.
Незащищенный файл конфигурации WordPress wp-config.php
Файл конфигурации WordPress wp-config.php содержит учетные данные для входа в базу данных WordPress. Если он будет взломан, то в нем будет содержаться информация, которая может дать хакеру полный доступ к вашему сайту. Вы можете добавить дополнительный уровень защиты, запретив доступ к файлу wp-config с помощью .htaccess. Просто добавьте этот небольшой код в ваш файл .htaccess.
<files wp-config.php>
order allow,deny
deny from all
</files>
Не изменяется префикс таблиц WordPress
Многие эксперты рекомендуют изменить префикс таблиц WordPress по умолчанию. По умолчанию WordPress использует wp_ в качестве префикса для таблиц, которые он создает в вашей базе данных. Вы получаете возможность изменить его во время установки. Рекомендуется использовать более сложный префикс. Так хакерам будет сложнее угадать названия таблиц вашей базы данных.
Очистка взломанного сайта WordPress
Очистка взломанного сайта WordPress может быть болезненной. Тем не менее, это можно сделать.
Бонусный совет
Для обеспечения надежной защиты мы используем Sucuri на всех наших сайтах WordPress. Sucuri предоставляет услуги по обнаружению и удалению вредоносных программ, а также брандмауэр сайта, который защитит ваш сайт от наиболее распространенных угроз.
