Kvôli popularite WordPress sa stal jedným z hlavných cieľov hackerov. Nie je to kvôli nejakej konkrétnej slabosti v samotnom WordPress, ale skôr preto, že obrovský počet stránok, na ktorých beží WordPress, z neho robí neodolateľné pokušenie pre tých, ktorí zarábajú peniaze na vykorisťovaní čestných vlastníkov stránok.
Pozrieme sa na niekoľko dôvodov, prečo by hackeri chceli získať prístup na váš web WordPress, a ponúkneme vám niekoľko jednoduchých pravidiel, ktoré vám pomôžu bojovať proti hackerom, ktorí by zacielili na váš web a obrátili ho proti vám.
Prečo hackeri hackujú?
Prvá vec, ktorú treba pochopiť, je, že útok takmer určite nemá nič spoločné s vašou firmou alebo s tým, čo robí. Namiesto toho chcú hackeri prístup k návštevníkom alebo zdrojom vášho webu z niekoľkých dôvodov:
-
Presmerovať návštevníkov na stránky zamorené škodlivým softvérom, a tým infikovať ich počítače.
-
Vloženie škodlivého kódu na vašu stránku, ktorá sa zameriava na návštevníkov.
-
Ak chcete používať svoj hosting a stránku ako súčasť útoku typu Distributed Denial of Service.
-
Ak chcete ukradnúť prihlasovacie údaje používateľa alebo iné súkromné údaje.
To znamená, že príležitostne sa hackeri môžu priamo zacieliť na vašu stránku alebo firmu ako súčasť ostrov-hopping útoku alebo v snahe znehodnotiť stránku a poškodiť dobré meno vašej firmy.
Takmer vo všetkých týchto prípadoch je v najlepšom záujme útočníka zostať skrytý, takže je viac ako pravdepodobné, že ak by vás niekto hackol, nevedeli by ste o tom, kým sa vaši používatelia nesťažujú, alebo kým Google neodstráni stránku zo svojho indexu a nepripíše vám veľké varovanie pred škodlivým softvérom pred každým, kto sa ho pokúsi navštíviť.
Aby boli majitelia stránok WordPress v bezpečí, musia implementovať dvojstupňový prístup k bezpečnosti. Po prvé urobte web čo najbezpečnejší a po druhé ho monitorujte, aby narušenie nezostalo nepovšimnuté.
Zabezpečenie stránky WordPress
Prihlasovacie údaje
Prvá a najdôležitejšia vec, ktorú by mal vlastník stránky WordPress urobiť, je zabezpečiť, aby ich používatelia implementovali správne protokoly hesiel. Hackeri sa stali veľmi zručnými vo vykonávaní slovníkových útokov hrubou silou proti stránkam, ktoré sa budú snažiť prihlásiť pomocou veľkého množstva hesiel zo zoznamu často používaných hesiel. Bezpečné heslá majú aspoň 12 znakov a mali by byť náhodne zložené z písmen, číslic a iných znakov. Heslá zložené výlučne zo slov zo slovníka by sa nemali považovať za bezpečné. The nedávny príval Využitie WordPress, ktoré zmenilo mnohé veľké stránky na uzly v botnete, bolo možné len kvôli zlým postupom pri zadávaní hesiel zo strany používateľov stránok.
V predvolenom nastavení WordPress vytvára používateľa s názvom „admin“, ktorý má úplné oprávnenia správcu. Hackeri to vedia, takže keď vykonávajú slovníkový útok, zameriavajú sa na tento používateľský účet. Ak je tento účet spojený so slabým heslom, je pre hackerov triviálne získať prístup. Používatelia WordPress by si mali vytvoriť alternatívny správcovský účet s ťažko uhádnuteľným názvom a bezpečným heslom a odstrániť „účet správcu“.
Ako ďalšie opatrenie na zvýšenie bezpečnosti je vhodné zaviesť dvojfaktorové overenie.
Zabezpečte svoje súbory WordPress
V prostredí zdieľaného hosťovania, keď je jedna stránka WordPress napadnutá, ostatné stránky sú zraniteľné, pokiaľ nemajú dostatočné povolenia na prístup k svojim súborom. WordPress poskytuje a komplexný sprievodca na zabezpečenie súborov, ktoré tvoria web WordPress v kódexe WordPress.
Aktualizovať
Všetok softvér obsahuje zraniteľné miesta, ide len o to, ako skoro sa objavia a kto ich objaví. To platí pre WordPress a pre všetky aplikácie, ktoré umožňujú WordPress, ako je webový server Apache, MySQL a PHP. Ak používate zdieľaný hosting, váš poskytovateľ hostingu sa pravdepodobne postará o udržiavanie servera, ale je zodpovednosťou webmasterov, aby sa ubezpečili, že WordPress je udržiavaný na najnovšom vydaní. Môžete sa zaobísť bez dodatočných funkcií nových vydaní, ale opravy, ktoré opravujú slabé miesta, sú kľúčovou súčasťou zabezpečenia WordPress. Väčšina napadnutých stránok WordPress je zneužitá, pretože nemajú nainštalované najnovšie opravy zabezpečenia.
Buďte opatrní s rozšíreniami a motívmi
Bezplatné rozšírenia a témy sú dokonalé trójske kone na povzbudenie vlastníkov stránok, aby si nainštalovali škodlivý softvér na svoje stránky. Aj keď väčšina rozšírení a tém neobsahuje škodlivý softvér, neodporúča sa hľadať ich pomocou Google voľné témy.
Získajte rozšírenia z WordPress plugin repo alebo od renomovaných vývojárov.
Monitorovanie prienikov
Keď zaskrutkujete predné dvere, budete sa musieť uistiť, že sa hackeri nevkradnú cez zadné. Pamätajte, že ak je vaša stránka napadnutá, je veľmi nepravdepodobné, že si to všimnete. tajnosť je v najlepšom záujme hackerov.
The WordFence bezpečnostný doplnok je vynikajúci doplnok a služba na monitorovanie stavu vášho webu a dokonca poskytuje určitú pomoc s jeho opravou (hoci keď sa do toho hackeri dostanú, najlepším riešením môže byť prístup spálenej zeme alebo najatie odborníka na WordPress na opravu vecí. ).
WordFence skenuje stránky na prítomnosť škodlivého softvéru, implementuje kompletný firewall a blokuje útoky hrubou silou. Bezplatná verzia je pomerne kompletná, ale pre úplný pokoj, relatívne lacná platená verzia pridáva vzdialené skenovanie používateľských stránok a prémiovú podporu.
Zabezpečenie vašej stránky WordPress je nevyhnutné na udržanie dobrej povesti u vašich návštevníkov a z väčšej časti zahŕňa dodržiavanie niekoľkých jednoduchých bezpečnostných postupov. Cenou za nič nerobenie môže byť zničená povesť a poškodené podnikanie.