Secure ba ang WordPress? Patuloy mo bang tinatanong ang tanong na ito sa iyong sarili?
Walang mga kahinaan sa core ng WordPress. Ang ilan sa mga pinaka-dedikado at mahusay na mga inhinyero sa mundo ay bumuo at nagpapanatili ng WordPress.
Ang platform ng WordPress ay hindi maaaring ihiwalay. A plugin, isang tema, isang username, at isang password ay magagamit. Sa paggawa nito, maaaring ma-hack ang CMS.
Sa nakalipas na dekada, siniguro namin ang mga site ng WordPress laban sa mga hacker. Araw-araw, Pinipigilan ng MalCare ang 250,000+ website mula sa pag-hack at pag-atake ng mga malisyosong hacker.
Isang tema, plugin, o ang mga kredensyal ng user ay hindi ginagawang masugatan ang WordPress sa loob at sa sarili nito. Ang mga mahihinang kredensyal at hindi napapanahong tema ay nagdudulot ng mga problema.
Tatalakayin natin ang mga paksang ito sa artikulong ito:
- Mga hack at kahinaan na pinakakaraniwan
- Dapat protektahan ang iyong site laban sa kanila sa pamamagitan ng pagsasagawa ng mga sumusunod na hakbang.
Ang aming WordPress Security Plugin poprotektahan ang iyong site laban sa mga isyu sa seguridad ng WordPress. Protektahan ng firewall ang iyong site at tatakbo ang mga pang-araw-araw na pag-scan. Higit pa rito, makakatulong ito sa pagpapatupad ng iba't ibang mga hakbang sa pagpapatigas nang hindi sinisira ang iyong website.
12 Karamihan sa Mga Karaniwang Isyu sa Seguridad at Mga Kahinaan sa WordPress
Ang mga sumusunod na kategorya ay maaaring gamitin upang pag-uri-uriin ang mga isyu sa seguridad ng WordPress:
- Ang pinakakaraniwang mga kahinaan sa WordPress
- Mga hack na karaniwan sa WordPress
Upang ma-hack ang iyong website, sinasamantala ng mga hacker ang mga kahinaan dito. Sa pamamagitan ng pag-patch ng mga kahinaan, ang mga hacker ay mas malamang na maatake. Maaaring mahina ang iyong site sa 5 pangunahing kahinaan na ito
Mga Kahinaan sa WordPress Pinakakaraniwan
1. Hindi magkatugma plugins at mga tema
Mga Kredito sa Larawan: Pexels
Mula nang halos isang dekada, naging dalubhasa kami sa seguridad ng WordPress. Batay sa aming karanasan sa pagharap sa daan-daang libong mga na-hack na website, alam namin ang mga lumang tema at plugins ay dapat sisihin para sa marami sa kanila.
Mga tema at plugins para sa WordPress ay maaaring bumuo ng mga kahinaan, tulad ng anumang iba pang software. Ang isang patch ay mabilis na inilabas ng mga developer upang ayusin ang problema. Ang isang may-ari ng website na naantala o nabigong i-update ang kanyang site ay iniiwan itong mahina sa isang hack.
Isaalang-alang ang Contact Form 7, na kabilang sa nangungunang tatlong form plugins sa mundo. Na-access ng mga hacker ang iyong website dahil sa isang kahinaan na binuo nito. Kahit na ang isang patch ay inilabas nang napakabilis, maraming mga site ang dumanas ng isang paglabag dahil naantala nila, o tahasang binalewala, ang pag-update. Ang site ay naibalik sa normal pagkatapos naming linisin ito.
2. Nulled WordPress Plugins & Mga Tema
Mga Kredito sa Larawan: Pexels
Ito ay lubhang nakatutukso na gumamit ng mga tema at plugins na walang bisa. Ang mga premium na tampok ay sa iyo nang libre pagkatapos ng lahat. Gayunpaman, ang mga ito plugins at mga tema ay hindi libre.
Sa kabila ng kung ano ang maaari mong isipin, nulled tema at plugins ay hindi ipinamahagi upang tulungan ka. Sa halip ito ay isang mapagsamantalang motibo.
Plugins at mga tema na pirated isama backdoors. Hindi mo namamalayan na lumikha ng isang window para mabuksan ng mga hacker sa iyong website kapag na-install mo ito.
Basta ang pirated theme o plugin nananatili sa iyong site, nananatiling mahina ang iyong site. Sa tuwing na-hack ito, na-hack ulit.
Bukod pa rito, pirated plugins at mga tema ay hindi ina-update ng kanilang mga developer. Ang iyong website ay naiwan ding mahina bilang isang resulta.
Mayroong libu-libong mga impeksyon sa wp-feed.php na dulot ng mga pirated na tema ng WordPress at plugins.
3. Hindi magandang WordPress Login Security
Mga Kredito sa Larawan: Pexels
Dahil pinapayagan nito ang mga hacker na ma-access ang iyong WordPress site, ang iyong login page ay isang karaniwang target.
Ang isang hacker ay maaaring gumamit ng mga bot upang subukan ang daan-daang kumbinasyon ng mga username at password sa loob ng ilang minuto upang basagin ang iyong mga kredensyal sa pag-log in. Isang malupit na puwersang pag-atake ay kung ano ito.
Hindi sinasabi na ang mga mahihinang kredensyal ay madaling ma-crack, tulad ng admin, user, password123, at p@ssw0rd.
Pabagalin nito ang iyong server kung ang daan-daang mga pagtatangka na mag-log in ay ginawa sa iyong site kahit na ang brute force ay hindi matagumpay. Ini-preload ng WP-config.php ang buong website sa paglo-load ng WordPress login page.
Tiyak na makakaranas ka ng paghina mula doon. Maaari kang makatagpo ng 503 na error kung mayroong labis na karga ng system.
4. Hindi magandang Hosting Environment
Mga Kredito sa Larawan: Pexels
Ang iyong website ay maaari ding maging mahina dahil sa hindi magandang serbisyo sa pagho-host. Ang hosting provider ay mga paa ng upuan. Nakaupo ang mga tao dito. Kung ang iyong binti ay nahawaan ng anay, isipin kung gaano ito kasakit. Ang isang upuan ay gumuho sa ilalim ng presyon na ito.
Ang pagho-host ng iyong website ay mahalaga din sa katatagan nito. Hindi mo mapapanatili ang iyong website kung nasira ang hosting.
Ito ay karaniwan lalo na para sa mga hindi kilalang kumpanya ng pagho-host na magkaroon ng mahihirap na kondisyon sa pagho-host. Maaari mong ilagay sa panganib ang iyong website na ma-hack o ma-crash kung hindi mo pipiliin ang pinakamahusay na kumpanya ng pagho-host.
Sa anumang kaso, maaari pa ring maging mahina ang iyong website kahit na gumamit ka ng sikat na hosting provider. Ang mga host ay madaling kapitan ng mga isyu sa seguridad sa kanilang mga serbisyo. Sa isang nakabahaging kapaligiran, kung ang isang site ay na-hack, ang epekto nito ay lalabas sa iba pang mga site.
5. Mga maling gawi tungkol sa mga tungkulin ng user sa WordPress
Mga Kredito sa Larawan: Pexels
Posibleng pumili mula sa anim na magkakaibang mga tungkulin ng gumagamit ng WordPress. Para sa bawat tungkulin, ibinibigay ang mga sumusunod na pahintulot:
- Administrador
- Editor
- may-akda
- Nag-ambag
- suskritor
Ang mga administrator ay may walang limitasyong pag-access sa site at sila ang pinakamakapangyarihan sa kanila. Hindi posible para sa halos sinuman na magkaroon ng ganitong uri ng kapangyarihan. Nakikita namin ang maraming mga website kung saan ang lahat ng mga gumagamit ay mga administrator.
Maaaring magdulot ng kalituhan ang isang user sa iyong site kung magpasya silang samantalahin ang kapangyarihang ipinagkaloob sa kanila. Kung sakaling tanggalin mo ang kanilang mga account, maaari rin silang mag-install ng backdoor sa iyong site at mag-setup ng mga ghost admin.
O, maaari silang kumita ng mabilis na pera nang tahimik gamit ang iyong data at site. Kilala ang mga hacker na palitan ang bank account na nauugnay sa gateway ng pagbabayad ng WooCommerce at inuubos ang pera ng tindahan.
Posible ring mawalan ng kabuuang kontrol sa iyong site kung ang ilan sa mga user ay gumagamit ng mahinang mga kredensyal.
Ang limang pinakakaraniwang mga kahinaan sa WordPress ay nakalista dito.
Maaaring atakehin ang isang website ng WordPress sa iba't ibang paraan dahil sa mga kahinaan. Sa susunod na seksyon, tatalakayin natin ang ilang karaniwan.
7 Mga Hack sa WordPress na Kailangan Mong Malaman
1. SQL Injection
Ang isang mapagsamantalang kahinaan na naroroon sa iyong site ay karaniwang ang batayan sa likod ng mga hack ng WordPress. Ang porma ng pagsasamantala ng mga hacker plugin input field para ilunsad ang mga pag-atake ng SQL injection. Ang database ng iyong site ay bibigyan ng malisyosong PHP script upang magnakaw ng data o makakuha ng access sa iyong site.
2. Pag-hack ng Pharma
Imahe Credits: Pexels
Ang parehong mga kahinaan ay maaaring samantalahin upang magsagawa ng mga pharma hacks kabilang ang mga tema, plugins, o mahinang mga kredensyal.
Pagkatapos mahawaan ang iyong mga pahina sa pagraranggo ng mga spammy na keyword at pop-up ad, maaaring mag-install ang mga hacker ng mga virus gaya ng favicon.ico malware. Ito ay nilayon na i-rank ang mga pharmaceutical na gamot na ibinebenta sa iyong website batay sa nito SEOmga kredensyal. Gumagamit sila ng mga pop ad upang i-redirect ang mga bisita sa kanilang mga tindahan upang maibenta nila ang mga produkto.
Ang isang SEO spam attack ay kilala rin bilang ganitong uri ng pag-hack.
3. Japanese Keyword Hack
Mga Kredito sa Larawan: Pexels
Ang mga pag-hack sa pharma ay katulad ng mga pag-hack ng keyword sa Hapon. Ang isang site ay napasok sa pamamagitan ng pagsasamantala sa mga mahina plugins at mga tema. Susunod, mayroon kang ma-spam na Japanese na salita at mga kaakibat na link na na-inject sa iyong mga pahina.
Pagkatapos ma-rank ang iyong site para sa Japanese, magsisimula kang makaakit ng mga bisita na gustong mag-click sa mga nakakahamak na link na kaakibat at bumili ng mga produktong ibinebenta ng mga hacker.
4. Cross-Site Scripting Attack
Ang isang cross-site scripting attack ay nagsasangkot ng pagsasamantala sa isang kahinaan sa a plugin o tema para magsagawa ng hack.
Isipin ang isang mahinang komento plugin na nagpapahintulot sa mga hacker na magpasok ng mga nakakahamak na link sa seksyon ng mga komento. Ang link ay magbibigay ng access sa cookies ng sinumang mag-click dito. Ina-access ng mga hacker ang iyong website sa pamamagitan ng pagnanakaw sa cookie ng browser ng user ng iyong site.
Ang pag-hijack ng session at pag-atake ng cookie theft ay isang uri ng hack, kailangan mong malaman!
5 Phishing
Gumagamit ang mga hacker ng mga pag-atake sa phishing upang makakuha ng access sa mga website sa pamamagitan ng pagsasamantala sa mga kahinaan (tulad ng luma na plugins o mga tema o mahinang kredensyal).
Ang mga spam na email ay ipapadala sa iyong mga customer sa pamamagitan ng hackers gamit ang mga mapagkukunan sa iyong site. Ang isang hoax site, tulad ng isang e-banking site, ay umaakit sa mga tao na mag-click sa link.
Kapag ang mga bisita ay nagbahagi ng sensitibong impormasyon, tulad ng mga numero ng credit card, maaaring nakawin ito ng mga hacker.
6. Pagtaas ng Pribilehiyo
Mga Kredito sa Larawan: Pexels
Gumagamit ng malupit na puwersa ang isang umaatake upang ma-access ang iyong site sa pamamagitan ng paghula sa mga kredensyal ng iyong user. Maaari ba nilang i-hijack ang isang Contributor o Subscriber na may mababang mga pribilehiyo?
Sa ganoong uri ng account, wala silang magagawa. Kailangan ng administrator account. Kapag nangyari iyon, pinalalaki nila ang mga pribilehiyo.
Upang makakuha ng ganap na kontrol sa site, sinasamantala ng mga hacker ang mga kahinaan sa plugins.
7. WP-VCD.php Hack
Sa pamamagitan ng pagsasamantala sa pirated o outdated Mga tema ng WordPress at plugins, maa-access ng mga hacker ang iyong site at makontrol.
Ang mga site na tulad ng sa iyo ay ginagamit para sa pag-imbak ng mga ilegal na file, tulad ng mga basag na software, pirated na pelikula, at mga palabas sa TV. Bilang resulta, ang iyong website ay nagiging lubhang mabagal dahil sa hogging ng mga mapagkukunan. Sinususpinde pa ng mga hosting provider ang mga website kapag napagtanto nilang gumagamit sila ng labis na dami ng mga mapagkukunan.
Ang pinakakaraniwang mga hack sa WordPress ay natapos na. Maliban kung gagawin mo ang mga sumusunod na hakbang sa seguridad, malamang na magdusa ang iyong website sa isa sa mga pag-atakeng ito.
Paano Ayusin ang Karamihan sa Mga Karaniwang Isyu sa Seguridad ng WordPress?
Tinalakay namin ang mga uri ng mga hack na maaaring maranasan ng mga website ng WordPress pati na rin ang mga karaniwang kahinaan na kinakaharap ng mga website ng WordPress.
Narito ang ilang mga tagubilin sa pag-patch. Sa paggawa nito, mas malamang na magtagumpay ang mga hacker.
1. Mag-install ng WordPress Security Plugin
Ang seguridad plugin market ay nag-aalok ng maraming mga pagpipilian, ngunit ang mga ito ay hindi lahat epektibo. Maraming mga tao na gumagawa ng maraming ingay ngunit walang kakayahang maghatid.
Hindi kami nagbebenta ng BS sa MalCare. Ang plugin nagbibigay sa site ng mga hakbang sa seguridad na hindi lamang epektibo, ngunit talagang pumipigil sa mga hacker na ma-access ang site.
Ang iyong mga butas sa seguridad ay tatatakan sa programang ito.
- Pagpapanatili ng iyong site gamit ang plugin ay madali.
- Makakatanggap ka ng alerto kapag natagpuan ang malware sa iyong site.
- Papayagan ka nitong gumawa ng mga hakbang na inirerekomenda ng WordPress upang patigasin ang iyong site.
- Ihihiwalay din ng firewall ang masamang trapiko mula sa ilang partikular na bansa at device. Hinarangan ang pag-access sa site bago ma-access ng mga hacker o bot ang iyong site.
2. Panatilihing Na-update ang Iyong Website
Ang pag-update ng iyong seguridad ay mahalaga. Hindi natin ito mai-stress nang sapat. Sa naunang seksyon, binanggit namin na ang karamihan sa mga pag-atake ng hack ay sanhi ng hindi napapanahong mga tema at plugins. Nangyayari ito kapag hindi na-update ang site sa lalong madaling panahon. Ang mga site na may ganitong kahinaan ay mahina sa pag-hack.
Tuklasin kung paano panatilihing secure ang iyong WordPress site. Upang matiyak na hindi ito masisira ng mga update sa iyong WordPress site, sundin ang gabay na ito.
3. Itigil ang Paggamit ng Pirated Plugins & Mga Tema
Ang mga backdoor ay ipinamamahagi sa pamamagitan ng mga tema ng pirating at plugins. Maaaring ma-access ang mga website nang hindi mo nalalaman.
Ang ilan sa mga site na ito ay nagbabahagi ng mga mapagkukunan at nagbibigay ng tulong. Plugins at mga tema ay maaaring i-upload na pirated. Mga pag-upload ng plugins at mga tema, na naglalaman ng malware, ay hindi sinusuri ng WordPress at sinasamantala ito ng mga hacker.
Napakahalaga na hindi mo ginagamit mga pirated na tema or plugins.
Kahit na makakuha ka ng pirated na tema o plugin mula sa isang pinagkakatiwalaang kaibigan, hindi sila maa-update. Ang pagpapanatiling napapanahon sa iyong website ay mahalaga.
4. Ipatupad ang Mga Panukala sa Seguridad sa Pag-login
Ang iyong pahina sa pag-login ay patuloy na tina-target ng mga malupit na pag-atake ng mga hacker. Maaaring protektahan ang page sa ilang paraan. Narito ang mga:
Tandaan ang anumang mga username o password na ginagamit mo sa iyong site at ipatupad ang mga matibay na kredensyal. Ang mga password at username ay dapat na natatangi.
Maaaring gusto mong magpatupad ng sistema ng proteksyon ng CAPTCHA upang limitahan ang mga nabigong pagtatangka sa pag-login ng mga user. Maaari mong awtomatikong paganahin ang proteksyon ng CAPTCHA kung gumagamit ka ng seguridad plugin, gaya ng MalCare.
Ipatupad ang Two Factor Authentication –
Bago mo ma-access ang iyong Admin ng WordPress dashboard, hihilingin sa iyong maglagay ng code na ipinadala sa iyong nakarehistrong numero ng telepono.
Ang isang dalawang-factor na paraan ng pagpapatotoo ay ginagamit ng mga serbisyo tulad ng Facebook at Gmail upang matiyak na ang tamang user ay nagla-log in.
5. Ipatupad ang Mga Wastong Tungkulin ng Gumagamit
Ang bawat user ay hindi dapat magkaroon ng mga karapatan ng admin. Ang mga may ganoong kapangyarihan ay dapat lamang pagkatiwalaan ng ilang tao.
Tanungin ang iyong sarili kung anong uri ng mga pahintulot ang kailangan ng lahat ng user ng iyong site upang gumana araw-araw.
Ang mga gumagamit ng WordPress ay may mga sumusunod na kapangyarihan:
- Administrator –
- Kinokontrol ang buong website at may access sa lahat ng feature nito
- Editor – Maaaring pamahalaan at mai-publish ang mga post
- May-akda - Nagagawa lamang na pamahalaan ang kanilang sariling mga post
- Contributor – Maaaring isulat at i-draft ang mga post, ngunit hindi mai-publish
- Subscriber - Ang pamamahala sa kanilang profile ay ang tanging magagawa nila
Gumawa ng matalinong pagpapasya tungkol sa pagpili ng tungkulin.
Ang mga kahinaang ito ay nasasaklaw lahat dito. Sa pamamagitan ng pagsasagawa ng mga hakbang sa itaas, lubos naming binabawasan ang mga pagkakataon ng isang hack. Dapat patigasin ang seguridad ng isang site para sa kumpletong seguridad.
Epekto ng Na-hack na Website
Ang iyong website ay maaaring magdusa ng kakila-kilabot na mga epekto kung ito ay na-hack. Ang mga hack ng mga website ng WordPress ay maaaring humantong sa iba't ibang mga problema, kabilang ang:
- Ang mga nakakahamak na site na iyon ay na-redirect sa iyo ng mga hacker. Nagreresulta ito sa mabilis na pagtaas ng mga bounce rate at pagbaba sa oras na ginugol sa website.
- Bumagal ang mga site bilang resulta ng mga pop-up ad sa iyong mga page o mga ilegal na file na nakaimbak sa server.
- Ang mga site na mabagal na naglo-load ay hindi tinatanggap. Mabilis na pipindutin ng mga bisita ang back button. Mapapansin ng mga search engine na medyo mabilis na umalis ang mga bisita sa iyong site, at bibigyang-kahulugan nila ito bilang isang indikasyon ng isang masamang website, isang website na hindi nakakatugon sa mga inaasahan ng bisita. Ang iyong site ay hindi na mairaranggo ng mga search engine.
- Ito ay isang pag-aaksaya ng oras, pera, at pagsisikap na i-upgrade ang iyong SEO technique.
- Kapag nadiskubre na ang iyong site ay nakompromiso, ang Google at ang iyong hosting provider ay maaaring magbigay ng mga mapanlinlang na babala sa mga bisita, i-blacklist ang iyong site, at suspindihin ang iyong account.
- Ang pag-hack ng mga website ay mahal upang ayusin.
Ano ang Susunod?
Nag-aalala ka ba na maaaring ma-hack ang iyong site?
Higit pa rito, kung talagang na-hack ang iyong website, dapat kang gumamit ng malakas na seguridad ng site plugin para alisin ang malware.
