11 главных причин взлома сайтов WordPress (и как это предотвратить)

Недавно один из наших читателей спросил нас, почему сайты WordPress взламываются? Обидно узнать, что ваш сайт WordPress был взломан. В этой статье мы расскажем о главных причинах взлома сайта WordPress, чтобы вы могли избежать этих ошибок и защитить свой сайт.^

Почему WordPress Targeted хакерами?

Во-первых, это не просто WordPress. Все сайты в интернете уязвимы для попыток взлома.

Причина, по которой сайты WordPress являются общей целью, заключается в том, что WordPress – самый популярный в мире конструктор сайтов. Он обеспечивает более 31% всех веб-сайтов, то есть сотни миллионов веб-сайтов по всему миру.

Эта огромная популярность дает хакерам простой способ найти менее защищенные веб-сайты, чтобы они могли их использовать.

У хакеров есть разные мотивы взломать сайт. Некоторые из них являются новичками, которые только учатся использовать менее безопасные сайты.

У некоторых хакеров есть злонамеренные намерения, такие как распространение вредоносных программ, использование сайта для атаки на другие сайты или рассылка спама в Интернете.

С учетом сказанного давайте рассмотрим некоторые из основных причин взлома сайтов WordPress и способы предотвращения взлома вашего сайта.

1. Небезопасный веб-хостинг

Как и все веб-сайты, сайты WordPress размещаются на веб-сервере. Некоторые хостинговые компании неправильно защищают свою хостинговую платформу. Это делает все веб-сайты, размещенные на их серверах, уязвимыми для попыток взлома.

Этого легко избежать, выбрав лучшего провайдера хостинга WordPress для вашего сайта. Это гарантирует, что ваш сайт размещен на безопасной платформе. Надлежащим образом защищенные серверы могут блокировать многие из наиболее распространенных атак на сайты WordPress.

Если вы хотите принять дополнительные меры предосторожности, то мы рекомендуем использовать провайдера управляемого WordPress хостинга.

2. Использование слабых паролей^

Пароли – это ключи к вашему сайту WordPress. Вам необходимо убедиться, что вы используете надежный уникальный пароль для каждой из следующих учетных записей, поскольку все они могут предоставить хакеру полный доступ к вашему веб-сайту.

Ваша учетная запись администратора WordPress
Учетная запись панели управления веб-хостинга
Учетные записи FTP
База данных MySQL, используемая для вашего сайта WordPress
Учетные записи электронной почты, используемые для администратора или хостинга WordPress
Все эти учетные записи защищены паролями. Использование слабых паролей позволяет хакерам взломать пароли с помощью некоторых основных инструментов взлома.

Вы можете легко избежать этого, используя уникальные и надежные пароли для каждой учетной записи. Посмотрите наше руководство о том, как лучше управлять паролями для начинающих WordPress, чтобы узнать, как управлять всеми этими надежными паролями.

3. Незащищенный доступ к администратору WordPress (каталог wp-admin)

Область администрирования WordPress предоставляет пользователю доступ для выполнения различных действий на вашем сайте WordPress. Это также наиболее часто посещаемая область сайта WordPress.

Оставив его незащищенным, хакеры могут использовать различные подходы для взлома вашего сайта. Вы можете усложнить им задачу, добавив слои аутентификации в вашу папку администратора WordPress.

Сначала вы должны защитить паролем свою область администратора WordPress. Это добавляет дополнительный уровень безопасности, и любой, кто пытается получить доступ к администратору WordPress, должен будет предоставить дополнительный пароль.

Если вы используете многопользовательский или многопользовательский сайт WordPress, вы можете установить надежные пароли для всех пользователей вашего сайта. Вы также можете добавить двухфакторную аутентификацию, чтобы хакерам было еще сложнее войти в вашу админ-панель WordPress.

4. Неправильные права доступа к файлу^

Права доступа к файлам – это набор правил, используемых вашим веб-сервером. Эти разрешения помогают вашему веб-серверу контролировать доступ к файлам на вашем сайте. Неправильные права доступа к файлам могут дать хакеру доступ для записи и изменения этих файлов.

Все ваши файлы WordPress должны иметь значение 644 в качестве разрешения для файла. Все папки на вашем сайте WordPress должны иметь разрешение 755 для файлов.

См. Наше руководство о том, как исправить проблему с загрузкой изображений в WordPress, чтобы узнать, как применять эти разрешения для файлов.

5. Не обновлять WordPress

Некоторые пользователи WordPress боятся обновлять свои сайты WordPress. Они боятся, что это нарушит их сайт.

Каждая новая версия WordPress исправляет ошибки и уязвимости безопасности. Если вы не обновляете WordPress, вы намеренно оставляете свой сайт уязвимым.

Если вы боитесь, что обновление сломает ваш веб-сайт, вы можете создать полную резервную копию WordPress перед запуском обновления. Таким образом, если что-то не работает, вы можете легко вернуться к предыдущей версии.

6. Не обновлять плагины или темы

Как и основное программное обеспечение WordPress, обновление вашей темы и плагинов одинаково важно. Использование устаревшего плагина или темы может сделать ваш сайт уязвимым.

Недостатки и ошибки безопасности часто обнаруживаются в плагинах и темах WordPress. Обычно авторы тем и плагинов быстро их исправляют. Однако, если пользователь не обновляет свою тему или плагин, он ничего не может с этим поделать.

Убедитесь, что вы постоянно обновляете тему WordPress и плагины.

7. Использование простого FTP вместо SFTP / SSH^

Учетные записи FTP используются для загрузки файлов на ваш веб-сервер с использованием FTP-клиента. Большинство хостинг-провайдеров поддерживают FTP-соединения, используя разные протоколы. Вы можете подключиться, используя обычный FTP, SFTP или SSH.

Когда вы подключаетесь к своему сайту по обычному FTP, ваш пароль отправляется на сервер в незашифрованном виде. За ним можно следить и легко украсть. Вместо использования FTP, вы всегда должны использовать SFTP или SSH.

Вам не нужно менять свой FTP-клиент. Большинство FTP-клиентов могут подключаться к вашему веб-сайту как по протоколу SFTP, так и по SSH. Вам просто нужно изменить протокол на «SFTP – SSH» при подключении к вашему веб-сайту.

8. Использование Admin в качестве имени пользователя WordPress

Использование «admin» в качестве имени пользователя WordPress не рекомендуется. Если вашим администратором является имя администратора, вам следует немедленно изменить его на другое имя пользователя.

Для получения подробных инструкций ознакомьтесь с нашим руководством о том, как изменить имя пользователя WordPress.

9. Обнуляемые темы и плагины^

В Интернете есть много сайтов, которые бесплатно распространяют платные плагины и темы WordPress. Иногда легко соблазниться использовать эти nulled плагины и темы на вашем сайте.

Загрузка тем WordPress и плагинов из ненадежных источников очень опасна. Они не только могут поставить под угрозу безопасность вашего сайта, но они также могут быть использованы для кражи конфиденциальной информации.

Вы всегда должны загружать плагины и темы WordPress из надежных источников, таких как веб-сайт разработчиков плагинов / тем или официальные репозитории WordPress.

Если вы не можете позволить себе или не хотите покупать премиум плагин или тему, то всегда есть бесплатные альтернативы для этих продуктов. Эти бесплатные плагины, возможно, не так хороши, как их платные аналоги, но они справятся с работой и, что самое важное, сохранят ваш веб-сайт в безопасности.

Вы также можете найти скидки на многие популярные продукты WordPress в разделе сделок на нашем сайте.

10. Не защищенная конфигурация WordPress Файл wp-config.php

Файл конфигурации WordPress wp-config.php содержит ваши учетные данные для входа в базу данных WordPress. Если он скомпрометирован, то он раскроет информацию, которая может дать хакеру полный доступ к вашему сайту.

Вы можете добавить дополнительный уровень защиты, отказав в доступе к файлу wp-config с помощью .htaccess. Просто добавьте этот маленький код в ваш файл .htaccess.^

11. Не меняя префикс таблицы WordPress

Многие эксперты рекомендуют изменить префикс таблицы WordPress по умолчанию. По умолчанию WordPress использует wp_ в качестве префикса для таблиц, которые он создает в вашей базе данных. Вы получаете возможность изменить его во время установки.

Рекомендуется использовать префикс, который немного сложнее. Это сделает хакерам труднее угадать имена таблиц вашей базы данных.

Подробные инструкции см. В нашем руководстве о том, как изменить префикс базы данных WordPress для повышения безопасности.

Очистка взломанного сайта WordPress

Очистка взломанного сайта WordPress может быть очень болезненной. Однако это можно сделать.

Вот некоторые ресурсы, которые помогут вам начать очистку взломанного сайта WordPress:

Руководство для начинающих по исправлению вашего взломанного сайта WordPress
Как сканировать ваш сайт WordPress на наличие потенциально вредоносного кода
как найти бэкдор на взломанном сайте WordPress и исправить его
Что делать, если вы заблокированы от администратора WordPress (wp-admin)
Руководство для начинающих: как восстановить WordPress из резервной копии

Бонусный совет

Для безупречной безопасности мы используем Sucuri на всех наших сайтах WordPress. Sucuri предоставляет услуги по обнаружению и удалению вредоносных программ, а также брандмауэр веб-сайта, который защитит ваш сайт от наиболее распространенных угроз.

Посмотрите, как Sucuri помог нам блокировать 450 000 атак WordPress за 3 месяца

Мы надеемся, что эта статья помогла вам узнать основные причины взлома сайта WordPress. Возможно, вы также захотите ознакомиться с нашим руководством по безопасности WordPress для защиты вашего сайта WordPress.

Если вам понравилась эта статья, пожалуйста, подпишитесь на наш канал YouTube для видеоуроков WordPress. Вы также можете найти нас в Twitter и Facebook.