11 главных причин, по которым сайты WordPress взламывают (и как это предотвратить)

Недавно один из наших читателей спросил нас, почему сайты WordPress взламывают.

Обидно обнаружить, что ваш сайт WordPress был взломан. Хотя хакеры атакуют все сайты, возможно, вы допускаете некоторые ошибки, которые делают ваш сайт уязвимым для атак.

В этой статье мы поделимся топ причин, почему WordPress сайт взламывают, так что вы можете избежать этих ошибок и защитить свой сайт.

Почему WordPress является мишенью для хакеров?

Во-первых, это не только WordPress. Все сайты в Интернете уязвимы для попыток взлома.

Причина, по которой сайты WordPress являются распространенной мишенью, заключается в том, что WordPress — самый популярный в мире конструктор сайтов. На нем работает более 43% всех веб-сайтов, то есть сотни миллионов веб-сайтов по всему миру.

Эта огромная популярность дает хакерам легкий способ найти менее защищенные сайты, чтобы использовать их в своих целях.

У хакеров есть различные мотивы для взлома сайта. Некоторые из них — новички, которые только учатся использовать менее безопасные сайты. Другие имеют злые намерения, например, распространяют вредоносное ПО, атакуют другие сайты и рассылают спам.

С учетом сказанного, давайте рассмотрим некоторые из основных причин взлома сайтов WordPress, чтобы вы могли узнать, как предотвратить взлом вашего сайта.

1. Небезопасный веб-хостинг

Как и все веб-сайты, сайты WordPress размещаются на веб-сервере. Некоторые хостинг-компании не обеспечивают надлежащую безопасность своей хостинг-платформы. Это делает все веб-сайты, размещенные на их серверах, уязвимыми для попыток взлома.

Этого можно легко избежать, выбрав лучшего хостинг-провайдера WordPress для вашего сайта. Надлежащим образом защищенные серверы могут блокировать многие из наиболее распространенных атак на сайты WordPress.

Если вы хотите принять дополнительные меры предосторожности, то мы рекомендуем воспользоваться услугами управляемого хостинг-провайдера WordPress.

2. Использование слабых паролей

Пароли — это ключи к вашему сайту WordPress. Вам необходимо убедиться, что вы используете надежный уникальный пароль для каждой из следующих учетных записей, потому что все они могут предоставить хакеру полный доступ к вашему сайту.

• Ваш аккаунт администратора WordPress
• Ваша учетная запись в панели управления хостингом
• Ваши учетные записи FTP
• База данных MySQL, используемая для вашего сайта WordPress
• Все учетные записи электронной почты, используемые для администрирования WordPress и хостинга

Все эти учетные записи защищены паролями. Использование слабых паролей облегчает хакерам взлом паролей с помощью основных инструментов взлома.

Вы можете легко избежать этого, используя уникальные и надежные пароли для каждой учетной записи. Смотрите наше руководство о лучшем способе управления паролями для начинающих пользователей WordPress, чтобы узнать, как управлять всеми этими надежными паролями.

3. Незащищенный доступ к админке WordPress (wp-admin)

Область администрирования WordPress дает пользователю доступ к выполнению различных действий на вашем сайте WordPress. Это также наиболее часто атакуемая область сайта WordPress.

Если оставить их незащищенными, хакеры могут попробовать различные подходы для взлома вашего сайта. Вы можете усложнить им задачу, добавив уровни аутентификации в каталог администратора.

Во-первых, вам следует защитить паролем область администрирования WordPress. Это добавляет дополнительный уровень безопасности, и любой, кто пытается получить доступ к админке WordPress, должен будет предоставить дополнительный пароль.

Если у вас многоавторский или многопользовательский сайт WordPress, то вы можете ввести надежные пароли для всех пользователей на вашем сайте. Вы также можете добавить двухфакторную аутентификацию, чтобы еще больше затруднить хакерам доступ к вашей админзоне WordPress.

4. Неправильное разрешение файлов

Права доступа к файлам — это набор правил, используемых вашим веб-сервером. Эти разрешения помогают вашему веб-серверу контролировать доступ к файлам на вашем сайте. Неправильные разрешения на файлы могут дать хакеру доступ к записи и изменению этих файлов.

Все ваши файлы WordPress должны иметь значение 644 в качестве разрешения файла. Все папки на вашем сайте WordPress должны иметь разрешение 755.

Смотрите наше руководство по устранению проблемы с загрузкой изображений в WordPress, чтобы узнать, как применить эти разрешения для файлов.

5. Не обновлять WordPress

Некоторые пользователи WordPress боятся обновлять свои сайты WordPress. Они боятся, что это приведет к поломке их сайта.

В каждой новой версии WordPress исправляются ошибки и уязвимости в системе безопасности. Если вы не обновляете WordPress, то вы намеренно оставляете свой сайт уязвимым.

Если вы боитесь, что обновление сломает ваш сайт, то вы можете создать полную резервную копию WordPress перед запуском обновления. Таким образом, если что-то не работает, вы можете легко вернуться к предыдущей версии.

Вы можете узнать больше в нашем руководстве для начинающих о том, как безопасно обновлять WordPress.

6. Не обновлять плагины или темы

Как и основное программное обеспечение WordPress, обновление темы и плагинов одинаково важно. Использование устаревших плагинов или тем может сделать ваш сайт уязвимым.

В плагинах и темах WordPress часто обнаруживаются недостатки безопасности и ошибки. Обычно авторы тем и плагинов быстро исправляют их. Однако, если пользователь не обновляет свою тему или плагин, то он ничего не может с этим поделать.

Убедитесь, что вы поддерживаете тему WordPress и плагины в актуальном состоянии. Вы можете узнать об этом в нашем руководстве по правильному порядку обновления WordPress, плагинов и тем.

7. Использование обычного FTP вместо SFTP/SSH

Учетные записи FTP используются для загрузки файлов на ваш веб-сервер с помощью FTP-клиента. Большинство хостинг-провайдеров поддерживают FTP-соединения по различным протоколам. Вы можете подключиться с помощью обычного FTP, SFTP или SSH.

При подключении к сайту с помощью обычного FTP ваш пароль отправляется на сервер в незашифрованном виде. Это означает, что за сайтом могут шпионить и его легко украсть. Вместо использования FTP всегда используйте SFTP или SSH.

Вам не нужно менять FTP-клиент. Большинство FTP-клиентов могут подключаться к вашему сайту по SFTP, а также по SSH. Вам просто нужно изменить протокол на ‘SFTP — SSH’ при подключении к вашему сайту.

8. Использование Admin в качестве имени пользователя WordPress

Не рекомендуется использовать ‘admin’ в качестве имени пользователя WordPress. Если ваше имя пользователя администратора — ‘admin’, то вам следует немедленно изменить его на другое имя пользователя.

Для получения подробных инструкций ознакомьтесь с нашим руководством о том, как изменить имя пользователя WordPress.

9. Обнуленные темы и плагины

В интернете есть много сайтов, которые распространяют платные плагины и темы WordPress бесплатно. У вас может возникнуть соблазн использовать эти обнуленные плагины и темы на своем сайте.

Скачивание тем и плагинов WordPress из ненадежных источников очень опасно. Они не только могут поставить под угрозу безопасность вашего сайта, но и могут быть использованы для кражи конфиденциальной информации.

Вы всегда должны скачивать плагины и темы WordPress из надежных источников, таких как сайт разработчика или официальные репозитории WordPress.

Если вы не можете позволить себе купить премиум плагин или тему, то всегда есть бесплатные альтернативы для этих продуктов. Эти бесплатные плагины могут быть не так хороши, как их платные аналоги, но они сделают свою работу и, самое главное, обеспечат безопасность вашего сайта.

Вы также можете найти скидки на многие популярные продукты WordPress в разделе сделок на нашем сайте.

10. Отсутствие защиты wp-config.php Файл конфигурации WordPress

Конфигурация wp-config.php Файл конфигурации WordPress содержит учетные данные для входа в базу данных WordPress. Если он будет скомпрометирован, то откроется информация, которая может дать хакеру полный доступ к вашему сайту.

Вы можете добавить дополнительный уровень защиты, запретив доступ к файлу wp-config с помощью .htaccess. Просто добавьте этот небольшой код в ваш .файл htaccess.

 разрешить, запретить, запретить всем 

11. Отказ от изменения префикса таблиц WordPress

Многие эксперты рекомендуют изменить префикс таблицы WordPress по умолчанию. По умолчанию WordPress использует wp_ в качестве префикса для таблиц, которые он создает в вашей базе данных. Вы получаете возможность изменить его во время установки.

Рекомендуется использовать более сложный префикс. Так хакерам будет сложнее угадать названия таблиц вашей базы данных.

Для получения подробных инструкций ознакомьтесь с нашим руководством о том, как изменить префикс базы данных WordPress для повышения безопасности.

Очистка взломанного сайта WordPress

Очистка взломанного сайта WordPress может быть болезненной. Однако это можно сделать.

Вот несколько ресурсов, которые помогут вам начать очистку взломанного сайта WordPress:

• 12 признаков того, что ваш сайт WordPress взломан (и как это исправить)
• Как просканировать сайт WordPress на наличие потенциально вредоносного кода
• Как найти бэкдор во взломанном сайте WordPress и исправить его
• Что делать, если вы заблокированы в админке WordPress (wp-admin)
• Руководство для начинающих о том, как восстановить WordPress из резервной копии

Бонусный совет

Для обеспечения надежной безопасности мы используем Sucuri на всех наших сайтах WordPress. Sucuri предоставляет услуги по обнаружению и удалению вредоносных программ, а также брандмауэр сайта, который защитит ваш сайт от наиболее распространенных угроз.

Мы надеемся, что эта статья помогла вам узнать основные причины, по которым сайт WordPress взламывают. Вам также может быть интересно узнать, как увеличить посещаемость вашего блога, или посмотреть наш список советов по ускорению работы WordPress.

Источник: www.wpbeginner.com