Brian Curtis
0 
2889
218
У меня есть много замечательных слов о WordPress. Это популярная во всем мире часть программного обеспечения с открытым исходным кодом, которая позволяет любому начать свой собственный блог или веб-сайт. Он достаточно мощный, чтобы его могли расширять опытные программисты, и в то же время достаточно прост, чтобы неграмотные люди могли извлечь из этого пользу. У нас даже есть мини-руководство по запуску вашего собственного сайта WordPress. 10 основных первых шагов при запуске блога Wordpress 10 основных первых шагов при запуске блога Wordpress Создав довольно много блогов, я хотел бы думать, что у меня хорошая система. за эти важные первые шаги, и я надеюсь, что это может быть полезно и вам. Следуя ... .
Однако, как и в случае с любым программным обеспечением, связанным с Интернетом, всегда будут дыры в безопасности, требующие исправления. Даже если прошлые отверстия исправлены, новые элементы неизбежно будут вводить новые отверстия, и тогда эти отверстия необходимо исправить. Это процесс, который никогда не заканчивается, поэтому для вас так важно регулярно обновляйте свой WordPress.
Обновление WordPress - лучший способ исправить последние уязвимости безопасности WordPress. Какие виды уязвимостей безопасности? Вот краткий обзор самых распространенных.
1. Стандартная учетная запись администратора
Когда вы впервые устанавливаете WordPress, ваша основная учетная запись администратора будет называться “админ” с одинаково простым паролем. Хранение учетных данных безопасности с настройками по умолчанию может быть большой уязвимостью, потому что хакеры и взломщики будут знать, что это за настройки по умолчанию, и, таким образом, будут легко их использовать.
На самом деле, это не проблема, уникальная для WordPress. Все, что поставляется с учетными данными по умолчанию для всего продукта. 3 Пароли по умолчанию, которые вы должны изменить и почему 3 Пароли по умолчанию, которые вы должны изменить и почему пароли неудобны, но необходимы. Многие люди стараются по возможности избегать паролей и с удовольствием используют настройки по умолчанию или один и тот же пароль для всех своих учетных записей. Такое поведение может сделать ваши данные и… (например, логины маршрутизатора или коды разблокировки телефона) по своей природе будет иметь эту уязвимость WordPress. Но в то время как маршрутизаторы и телефоны обычно требуют вашего физического присутствия для вреда, любой может взломать ваш сайт WordPress, если у них есть URL.
Так что ты можешь сделать? Самым простым решением является создание новой учетной записи администратора на вашем сайте WordPress и удаление по умолчанию “админ” учетная запись. Это не оставляет никакой предсказуемости с точки зрения доступа администратора.
2. Префиксы базы данных по умолчанию
Когда WordPress впервые установлен, таблицы базы данных именуются с префиксом по умолчанию wp_. Это сделано для того, чтобы все таблицы оставались организованными в вашей базе данных на случай, если вы работаете с другими программными пакетами в той же базе данных. wp_ означает, что эти конкретные таблицы связаны с WordPress.
Но в этом-то и заключается подвох - если хакер пытается связываться с вашим сайтом WordPress, то эта часть предсказуемости автоматически делает его на шаг ближе к подделке таблиц вашей базы данных. Зная имена таблиц вашей базы данных, хакер может вручную ткнуть в нее, пока не получит доступ.
Думайте об этом так. Предположим, что вор хочет украсть что-то из вашего дома, но ваш дом оборудован специальными дверями, в которых есть скрытые замочные скважины, пока вы не вызовете нужную “название” за эту дверь. Если вор знает, что имя вашей двери “Сэнди”, тогда все, что ему нужно сделать, это взломать замок, но если вор не знает названия вашей двери, ему нужно сначала как-то выяснить это, прежде чем он сможет даже взломать ее.
Так что ты можешь сделать? Просто. WordPress позволяет устанавливать с использованием префикса таблицы, который отличается от префикса по умолчанию.
3. Доступные файлы и каталоги
На любом веб-сайте количество файлов, к которым вы действительно хотите, чтобы пользователи обращались, намного меньше, чем количество файлов, необходимых для работы этого веб-сайта. У вас может быть много функциональных файлов, файлов классов, файлов шаблонов, файлов конфигурации и т. Д., Ни один из которых не должен быть общедоступным. То же самое верно для каталогов.
Используя CHMOD, вы можете устанавливать разрешения для различных файлов и каталогов, чтобы предотвратить доступ нежелательных пользователей к конфиденциальным материалам. Например, если у пользователя есть доступ к вашему файлу конфигурации, он может изменить ваши настройки WordPress и взломать ваш сайт. WordPress уязвим, если файлы и каталоги вашего сайта не защищены необходимыми настройками разрешений..
Так что ты можешь сделать? На самом деле мне пришлось столкнуться с этой проблемой недавно, и исправить это не слишком сложно. Убедитесь, что ваша установка WordPress соответствует схеме разрешений WordPress..
4. SQL-инъекции и угон
SQL-инъекции не являются уникальными для WordPress; фактически они являются одной из наиболее распространенных (и разрушительных) форм атак на веб-серверы в мире. Не знакомы с термином? Дайте мое введение в статью SQL-инъекции Что такое SQL-инъекция? [MakeUseOf Объясняет] Что такое SQL-инъекция? [MakeUseOf Объясняет] Мир интернет-безопасности изобилует открытыми портами, бэкдорами, дырами в безопасности, троянами, червями, уязвимостями брандмауэра и множеством других проблем, которые держат нас всех на ногах каждый день. Для частных пользователей ... быстрый взгляд, чтобы дать себе общее представление о проблеме.
По сути, WordPress на протяжении многих лет имел в своем коде несколько дыр в безопасности внедрения SQL-кода. Некоторые были исправлены, в то время как другие остаются незамеченными или необнаруженными. Если хакер получает доступ к одной из этих дыр, он может внедрить вредоносный код SQL в вашу базу данных, который можно использовать для кражи данных или просто полностью удалить их..
Так что ты можешь сделать? В этом-то и заключается подвох - если вы недостаточно хорошо подготовлены, чтобы знать, как победить SQL-инъекции, то у вас, вероятно, нет технических знаний для создания защиты. Вероятно, вы можете поискать плагины WordPress, которые могут устранить потенциальные дыры в инъекциях, но большинству пользователей просто нужно подождать следующего патча безопасности WordPress..
Рекомендуемые плагины
- WP Security Scan - Этот плагин будет сканировать настройки вашего сайта и искать потенциальные уязвимости безопасности. Он охватывает все виды областей, от прав доступа к файлам до дыр в базе данных, управления паролями и т. Д..
- WordPress File Monitor Plus - в случае, если кто-то получил доступ к файловой структуре вашего сайта, этот плагин сообщит вам об этом. Он регулярно контролирует файлы и каталоги вашей системы и отмечает любые расхождения.
- WordPress Firewall 2 - этот плагин создает метафорическую стену вокруг вашего сайта, сканируя все введенные данные и трафик на предмет злонамеренных намерений. Это очень хорошо предотвращает такие атаки, как SQL-инъекции и другие атаки на базы данных..
- Wordfence - Wordfence представляет собой плагин «все в одном», включающий защиту от вредоносных атак, антивирусное сканирование, брандмауэр и многое другое. Определенно стоит попробовать.
Заключение
Хотя WordPress может быть как открытым исходным кодом, так и широко популярным, это не значит, что он не лишен недостатков. Время от времени появляются уязвимости в WordPress, и когда одна из них исправлена, другая обычно появляется прямо за углом. Благодаря тщательному мониторингу и профилактическим мерам вы можете минимизировать риск, с которым сталкивается ваш сайт WordPress..