WordPress е най-популярната платформа за публикуване в света. Тя обхваща над 24% от всички уебсайтове в целия свят. WordPress е и с отворен код. Какво означава това е, че кодът, който работи на WordPress е видим за всички. Тъй като това се занимава толкова много сайтове, тя се превърна в мишена за хакери, които искат да контролират или да зарази уеб сайтове.
Мислете за това по този начин: ако сте хакер и искате да зарази най-голям брой уеб сайтове, можете да се опитате да намерите пробив в сигурността на отделния Софтуерът работи на всеки сайт, или може да е софтуер за сигурност дупка най-популярната използва от уеб сайтове и да заразява всички. Ако хакер може да намери пробив в сигурността на WordPress себе си, или популярна тема или плъгин използва WordPress, което им позволява да много бързо да заразят голям брой сайтове, използващи автоматизирани атаки.
Поради тази причина, намери дупка в сигурността “нула дни” WordPress е издирван от пирати, тъй като това може да доведе до възможността да контролира голям брой уеб сайтове. Уязвимостта е уязвимостта на нулева ден, че продавачът на софтуер имал “нула дни” за ремонт, защото те знаят за проблема. Това е най-добрият вид на дупка в сигурността за един хакер, защото всеки, който работи с последната версия на даден софтуер е гарантирано, че има дефекта няма налична решение.
уебсайт Нападателите
По принцип, има три лица, които атакуват WordPress сайтове:
(1) Човешките същества: човек, седящ зад компютър сондиране и атакуват уеб сайт ръчно.
(2) бутон: Това е една програма или скрипт, който хакер използва, за да атакува много сайтове автоматизирани автоматизирано.
(3) ботнет: е група от машини, работещи програми се координират от “командване и контрол” на централния сървър (C & C сървър), който атакува много сайтове автоматично.
напред човешки
Наличието на човешки индивид атакува ръчно сайта е рядкост. Ние всички се иска да мисля, че сме специален и че нашият сайт е интересно достатъчно за някой, който да ни даде вида на индивидуално внимание, което заслужават. Истината е, че много малък процент от уебсайтовете са насочени индивидуално и още по-малко, че човек да си жив, който се опитва да пробие.
Все пак, ако са засегнати от едно лице, нивото на сложност на атаката е много по-важно, отколкото когато са посочени от робот. Едно човешко нападател е в състояние да контролира скоростта, с която събира информация на сайта си, за да се избегне задействането всяко откриване на проникване. След това можете да опитате някои атаки, докато като внимавате да не предупредят и системи, които защитават вашия сайт. Те виждат резултатите от всеки отделен намерения и може да взема решения за това как да се процедира на базата на тези резултати.
Повечето атаки включват много важно, живеещи човешки целеви обекти, включително военни доставчици, сайтове, които съдържат чувствителни лични данни и тези, които са финансово изгодно за атака.
Bots и Ботнет
Роботите са програми, написани от хакери, които атакуват с голям брой сайтове за уязвимости в софтуера, известна като WordPress. Това е относително лесно да се напише програма за посещение на стотици хиляди сайтове бързо да проверите, ако сте с версия на WordPress с дупка известен безопасност и, когато е открита, да проникна в сайта, като използва тази дупка в сигурността ,
Роботите могат да бъдат една програма работи на една машина или на голям брой машини, работещи под различни версии на програмата, докато се опитва да намали голям брой обекти в паралел – също наречена “ботнет”.
По-голямата част от нападения срещу WordPress сайтове се извършва от роботи. Добрата новина е, че тези атаки не са толкова сложни като човешки атаки също са по-агресивни. Това ги прави по-лесно да се открие. Лошата новина е, че ако нулев ден уязвимост излиза WordPress или тема или добре познат добавка, може да се управлява изключително бързо през тези видове автоматизирани атаки, които водят до голям брой сайтове, които са в опасност.
Повечето атаки се извършват от роботи или автоматизирани машини. Тъй като роботите са бързи и ефективни за атака на голям брой сайтове, това е много важно, за да затворите известни дупки в сигурността на вашия WordPress сайт възможно най-бързо.
Защо са ми атакува WordPress сайт?
Целта на някой хакер да поеме контрол на вашия WordPress сайт административно ниво. Това означава, че може да чете всички файлове и данни в базата данни на място. Това означава също, можете да редактирате файлове, да прави промени в базата данни и да промени начина на уебсайта си работи и съдържание, които обслужва. Те искат да правят за някоя от следните причини:
(1) С цел да се изпраща нежелана поща: за изпращане на спам от вашия уебсайт. Хакерите могат да се изпълняват скриптове на сайта си, които изпращат своите цели още веднъж да управлявате вашия сайт.
(2) За да бъде домакин на зловредно съдържание и избягване на филтри: Пиратските хакерите могат да използват сайта им да бъде домакин на съдържание като порнография, незаконен продажба на наркотици или друго съдържание спам. Вредно съдържание домакин район, който има лоша репутация не помогне за предотвратяване на спам и други онлайн филтри.
(3) За да крадат данни от вашия сайт, за да получите достъп и събиране на данни за своя уебсайт, включително имената и адресите на своите клиенти и потребители. Кражбата хиляди имейл адреси за членовете на вашия сайт предлага нови цели за хакерите да изпращат нежелани и опасни съобщения. Може да се наложи друга важна информация, като например персонал лична информация, която може да бъде полезна в кражба на самоличност и други злонамерени дейности.
(4) Spamvertize: За да използвате вашия уеб сайт, за да насочват трафика към друг злонамерен или спам сайт. Включително свой собствен уеб сайт изброява тези имейли със спам в спам папката, ако сайтът е известен като злонамерени. За да включите вашия сайт адрес в спам имейли, вместо да избягват спам филтри. След това, когато някой кликне върху спам на линк към вашия сайт, те са пренасочени към зловреден сайт. “Spamvertizing се нарича.
(5) С цел да се атакуват други сайтове: След като вашият сайт е бил компрометиран, хакер може да използва вашия сайт да тече скриптове, които отвличат бот атака на друго място. Вашият сайт може да бъде част от група от машини, наречена “ботнет”, голяма група от машини, използвани за злонамерени действия хлабави.
След като вашият сайт е бил компрометиран, че е много вероятно да бъдат използвани за злонамерени действия. Това има голяма вероятност да съсипват репутацията на вашия сайт. Тя ще бъде санкциониран в класацията на търсачките и може да бъде блокиран от филтрите на браузъра и Google Безопасно сърфиране списък. Поради тази причина е важно да се открие рано пиратството и го оправи бързо.
Можете също така да прочетете – Coupon Code Justhost
Какви характеристики, които ги уязвими WordPress сайтове правят?
В момента WordPress обработва около 17 процента от всички сайтове. Популярността му го превръщат в основна цел за зловреден софтуер прави, защото нейният обхват е възможност да се окаже съществено въздействие веднъж се идентифицира уязвимостта. Уеб зловреден софтуер се увеличава с около 140% през последните две години, и е малко вероятно да изчезне бързо. Потребителите WordPress може да отнеме няколко прости мерки и да се повиши сигурността на място по време на първоначалната настройка.
Много WordPress потребители имат погрешната представа, че най-трудната част от изграждането на напълно функционален уеб сайт е да се намерят добри програмисти, и не се изискват допълнителни действия. За повечето, това би могло да бъде вярно, когато платформата е придобил известност през 2007 година. Днес, потребителите трябва да предприемат действия срещу зловреден софтуер. За да бъда откровен, няма почти нищо по-лошо за брандиране и PR, че откритието самоделно един сайт WordPress изпраща обяви за разширяване на части от тялото.
WordPress сайтове, които не са само по себе уязвими. Въпреки това, популярността, свързани с остарелите плъгини и теми, може да увеличи уязвимостта, често от момента, се създава сайт.
остарели версии на WordPress
Един от най-големите проблеми е остаряла версия на WordPress. WordPress актуализации служат за справяне с различни уязвимости в CMS. Въпреки това, основните уязвимости са рядко срещан проблем. Потребителите могат лесно да се инсталира кръпки за сигурност чрез актуализиране на WordPress сайтове, вместо да игнорирате съобщението казва. В крайна сметка, WordPress няма стимул за насърчаване на потребителите да актуализират уеб сайтове за ритници. Потребителите с ограничени познания за уеб дизайн и поддръжка, не са единствените, които игнорират посланията. В действителност, висш съд наскоро съобщи на интернет страницата на Ройтерс, която се работи с версия на WordPress е стара.
Теми и остарели или злонамерени приспособления
WordPress наскоро установи, около 80 процента от свободни теми base64 кодиране, които могат да бъдат използвани за злонамерени цели. Темите и джунджурии, предлагани от WordPress са също толкова безопасни, колкото е възможно. В крайна сметка, WordPress не застрашават сигурността и целостта на сайтовете, хоствани на ССФ. В допълнение, WordPress вече има над 20,000 плъгини с различно качество. Някои от тях са остарели, а други имат специфични уязвимости криптирани. Други сайтове на WordPress теми и плъгини като цяло са рискови.
и лесен достъп по популярност
Около 700 милиона уеб сайтове, използвайки WordPress май 2014 година. След като един хакер може да намери уязвимост в един сайт WordPress, можете да сканирате други сайтове за подобна уязвимост. Възможността да започне мащабна атака с минимални усилия е привлекателна. Атаките срещу WordPress сайтове могат да бъдат изненадващо елементарен. В началото на 2013 г., много груба атаки сили са използвали потребителско име “администратор” и комбинация от някои от най-популярните сървъри, за да получите достъп до пароли и хакери са били изненадващо ефективен достъп до много места.
С една дума, най-различни фактори, обикновено ги правят уязвими WordPress сайтове. Това е почти невъзможно да се намали популярността на CMS. Въпреки това, крайните потребители могат да приемат различни мерки, за да се създадат защитени сайтове WordPress.
Пет лесни начина за укрепване на сигурността на уеб сайт WordPress
Важно е да се започне с основните най-добрите практики. Наемането на разработчик на компания с добра репутация, а не независим разработчик на ниска цена, и е знаел за малките неща, които крайните потребители обикновено имат около.
1. Намиране на надежден уеб хостинг доставчик
уязвимости настаняване представляват значителен процент от пиратски WordPress сайтове. Изберете уеб хостинг доставчик с добра репутация и добра история. Обърнете малко повече за надеждна хостинг решение вместо веднага да изберете най-евтиния или най-удобният вариант. Препоръчваме ви да проверите Bluehost и Siteground за нуждите ви на уеб хостинг. Тези две са много популярни и надеждни wordpress хостинг доставчици. Можете да опитате Coupon Code Bluehost и Siteground Promo Codes за прилични отстъпки за услугите си.
2. Използвайте силни пароли и ги промени, ако е необходимо
Около 8% от хакнат WordPress сайтове са били нарязани отчасти се дължи на грешни пароли. Направете своя трудно да се отгатне, използвайте специални символи парола. В допълнение, крайните потребители трябва да променят паролите, ако е необходимо. Препоръчително е потребителите да променят паролите си след нов разработчик работи на място или след един служител с достъп до обекта приключи отношенията си с компанията, която е свързана със сайта. силно, че различни пароли се използват за WordPress сайт и имейл адреса, свързан с него, също се препоръчва. Създаване и управление на пароли може да изглежда просто, но най-добрите практики са лесно пренебрегвани.
3. Използвайте уникално потребителско име и да го скрие в URL адреса на автора на контейнера
Използвайте уникално потребителско име, което не е толкова очевидна, тъй като “гост” или “администратор”. “Администриране” е стандарт за потребителско име сайтове WordPress до версия 3.0 е бил освободен, както и много потребители са запазили потребителско име “администратор”. Променете го със създаване на нов администраторски акаунт и след това изтрийте “администратор” сметка на произход. Освен това, за да се скрие на потребителско име в лентата за URL адрес. Хакерите могат да виждат потребителските имена в URL адреса на автора архивни страници, тъй като на недостатък в WordPress на. Промяна на влизането в таблицата с wp_users user_nicename да скрие истинското име на потребителя.
4. опити лимит за връзка
Премахване на паролата е реална заплаха. По принцип, на робот или дори едно човешко същество може да направи няколко опита да отгатнат комбинации от име / парола, докато ви са верни. Те не могат да успеят 10-20 опита. Но ако на парола се използва в средата на курорта, на 100 000-ия опит може да бъде успешна.
Limit връзка се опитва да възпре грубите нападки сили. Това не е сполучлив начин да се предотврати атаки, особено когато хакерите да имат достъп до хиляди адреси. Въпреки това, тя е проста мярка, която потенциално може да помогне.
5. Забрани за редактиране на файлове от арматурното табло
Забрана за редактиране на файлове директно от таблото. Обикновено, хакери желаят да намерите сайтове, които са лесни мишени.
Този метод не е защитен и е силно препоръчително, че всички потребители редовно да поддържат досиета на WordPress сайтове препоръчва. Значението на резервни копия и съкращения, които не могат да се надценява. Разнообразие от аксесоари за сигурност, може да разубеди някои видове атаки, но атаки все още може да се случи. В допълнение, на WordPress плъгини, които планират автоматично архивиране и архивиране са на разположение. Основният източник на уязвимост е често крайния потребител.
6. Използвайте сметка издател за съдържанието на работата
Използване на първостепенен разпоредител сметка за монтаж / редактиране (или когато се работи със съдържание като цяло) може да бъде рисковано. Особено, ако Wi-Fi се използва в кафе или нещо такова.
Вместо това, създавате съдържание, издател сметка за всяка работа, която извършвате. Отново направи връзката не е очевидно.
7. Fix своя собствена машина
В допълнение към защитата на Вашия сайт, вие трябва да се грижи за компютрите, използвани за достъп до сайта. Има всички видове вируси там. От кийлогъри прости да се обърне специално внимание на натискания на клавиши, а след това се опита да пресъздаде вашето потребителско име и парола, за да се насочите FTP роботи, основани на търсенето на отворен FTP връзки и да изтеглите хакнат директно в файла си сървър.
8. Редовно се актуализира WordPress
Актуализация на WordPress е едно от онези неща, които всеки знае, че те трябва да се направи, но в крайна сметка винаги се забравя. Нека ви кажа защо е изключително важно обстоятелство.
Подробен запис на промените е в непосредствена близост до всяка нова версия на WordPress. Този журнал на промените всяка грешка се коригира появи. С други думи, това е наръчник за хакери, които искат да насочват по-стари версии на WordPress.
Колко сериозно е това? Е, миналата година, потребителите на WordPress обявиха, че всички версии преди 3.9.2 са уязвими за крос-сайт скриптове съкращения. За 86% от всички WordPress сайтове са уязвими в момента.
И малко по-наскоро, Sucuri момчета откриват зловреден кампания в ход.
За наше щастие, решението е много просто мнозинство от времето … за да се даде възможност на автоматични актуализации за вашия уеб сайт WordPress, или винаги се извърши ръчно актуализиране, веднага след като е подадено уведомление. Можете също така да отидете за управлявани WordPress хостинг решения. В такива хостинг планове, всички актуализации на wordpress се управляват от хостинг компания, така че не е нужно да се притеснявате за това. Godaddy осигурява добро управление на wordpress хостинг. Проверете Godaddy Codes тук.
9. Редовно се актуализира плъгини
Що се отнася до промените, а не само за WordPress да се актуализира. Това е един и същ за плъгини, които използвате. И последствията могат да бъдат много сериозни и ако бъде пренебрегвана.
Винаги актуализирате плъгини от появата на уведомление. Аз просто не знам кога нова уязвимост е открито и след това се коригира с по-късна актуализация. Ако пропуснете марката, може да се даде достатъчно време престъпниците да атакува успешно вашия сайт.
10. десет часа Backup редовно вашия сайт
Разбира архиви няма да спаси сайта си от хакери. Въпреки това, те са абсолютно задължително да има в случай, че нещата стават диви. Архивите са безценни. Ако имате скорошен резервно копие на сайта си, можете да го възстанови нормалното си състояние, без значение какво може да се случи.
Две от най-добрите начини да направите това:
• Чрез безплатен плъгин – WordPress Backup за Dropbox – това отнема вашите файлове и база данни съдържание и се съхранява в профила си за сейфа. Всичко е на автопилот веднъж на ден.
• Чрез VaultPress – разтвор, богат на функции (платена, започващи от $ 99 на година).
11. Изборът на най-добрите уеб хостинг доставчик, можете да си позволите
Точно преди мен, аз трябва да бъда честен със себе си и да признаем, че евтини хостовете не са много добри. Не се спестят пари на вашия план за сървър. Винаги отивам за най-добър уеб хостинг услуга, която може да си позволи.
Някои указания за качество:
Bluehost
Hostmonster
Siteground
HostPapa
Mediatemple Hosting
A2 hosting deals
GoDaddy
12. Изтеглете плъгини и теми от известни източници
случайни уязвимости, нека да го наречем по този начин, те не са единственото нещо, което може да хапе. Налице е също така преднамерено уязвимости.
Например, ако се получава тапа източник на сянка, която може да включва код, създаден специално да откраднат вашия сайт. В този случай, получаване на приставката е действително хакна сайта си.
Същото важи и за въпроси. Дали да създадете блог или да създадете сайт с WordPress, ние имаме плъгини и семейни въпроси.
Как да намерите плъгини и проблеми с качеството? Първите места, за да отидат, са официалния тема директория и WordPress.org приставки. Downloads не съдържат зловреден код умишлено.
Що се отнася до темите и премиум приставки, трябва да отговарят на репутацията на продавача. ThemeForest и CodeCanyon като цяло са безопасни, поради процеса на задълбочен и пълен преглед за всяка нова тема и тема плъгин тук.
13. Премахване на плъгини, които не използвате
Човек никога не знае какво се очаква от хранителните добавки. Понякога трябва да отговаря на основните уязвимости безопасност, понякога нещо по-сериозно.
Както и да е, за да спаси някои повече проблеми, просто да изтриете всички неизползвани плъгини. Това няма да намали запази неактивен. Не забравяйте, че източника на тези плъгини файлове все още са на вашия сървър. Ето защо, да създадете нов навик, а не просто да деактивирате плъгина не използва това време, извадете го напълно.
14. Намаляване на общия брой на плъгини
В допълнение към получаване на приставки само от надеждни източници и разкрива известно, и премахване на плъгини, които не се използват, можете също да се намали общия брой на плъгини, които сте инсталирали. И аз не искам да се премахне случайни неща и да губят добра функционалност.
Вместо това, опитайте да използвате плъгини заместват други плъгини за неговата функционалност.
15. Използвайте конектор за безопасност
плъгини за сигурност са в общи линии това, което името им подсказва, че са … Чрез различни методи, помогнете на WordPress блог, за да ви опази. Това обикновено се прави чрез изображения на базата данни защита, защитна стена, файлове и контрол разрешение на друг ранг.
Най-популярната сигурността добавките:
Sucuri сигурност,
куршуми сигурност,
AntiVirus,
WP Acunetix сигурност
Wordfence сигурност.
Wordfence
Хубавото при тях е, че много често се работи на автопилот, така че не е задължително да се разбере какво се случва под капака.
16. Защитете вашия сайт срещу грубите нападки сили
грубите нападки сила, са различни видове животни. По принцип, ако някой иска да направи бъркотия на вашия сайт, те имат две възможни пътеки:
* Хирургично стачка – старателно за уязвимост, а след това да го изследват с лазерна прецизност
* Груба сила Атаката – те се опитват да се налучка няколко пъти, докато не го получим, което означава, че често милиона тестове онлайн.
Най-добрият начин да се защити това е добавка, наречена BruteProtect. Но от август 2014 г., тя е интегрирана в BruteProtect Jetpack.
17. Използването на CloudFlare
CloudFlare е много мистериозен за мен решение. И това е тайнствен, че не е това, че тя е много ефективна в това, което прави, но повечето от екстри са на разположение.
С една дума, CloudFlare работи целия трафик към сайта си чрез мрежов сървър. Тези сървъри позволяват само оригинални хора, които искат да четат съдържанието им и свалят всеки заподозрян. Проверете вашите страници “функции”, за да получите по-добро разбиране.
18. монитор зловреден софтуер
Malware е общ термин, който се отнася до различни форми на вмешателство на софтуер, включително злонамерени уеб последователността на командите – неща, които могат да атакуват вашия WordPress блог. И това, което е тъжно е, че не ще откриете, че има зловреден софтуер, докато не стане твърде късно основно и вредата е направено. О, и Google вече е напуснал класацията на сайта си по това време.
Най-добрият начин за предпазване от подобен проблем е използването на разтвор, който анализира вашия WordPress сайт и непрекъснато ви информира, когато нещо подозрително се случва.
19. Осъществяване на издаване контрол
Когато ти предстои да смени темата или да има тема за нов сайт, първо се тестов обект с приставката. Ще бъдете уведомени, ако проблемът продължава най-новите стандарти за WordPress и практически препоръки. Това е чудесен начин да се знае, ако разработчиците наистина са знаели какво правят.
20. Pingbacks и проследявания блок
Регулиране на стойността на Pingbacks далеч, друг пирон в ковчега е, че Pingbacks могат да бъдат използвани за DDoS атаки. Помислете за деактивиране Pingbacks на вашия сайт. Това може да стане в Settings> Дискусия. Просто махнете това поле:
Тревожно е да се игнорира очевидното доказателство. Инвестирането в сигурността WordPress уебсайт чрез инвестиране в конфигурация за сигурност и оптимална поддръжка. Често привидно малки или неподходящи уязвимости се съчетават в WordPress уеб сайт, който представя значителни опасения за сигурността. Отделете време да се сменят паролите, архивиране на данни на сайта и инсталира актуализации. Почти сигурно, че ще бъде по-изгодно да се извърши инициативи импровизирани контрол щети.
За по-нататъшно четене: 30% OFF Promo at WPEngine