5 Ancaman Keselamatan Lalai dalam WordPress (Plus Pembaikan)

WordPress ialah perisian sumber terbuka sepenuhnya yang sangat popular. Perkara yang menarik tentang keselamatan itu, ialah terdapat komuniti besar yang bekerja dengannya, yang dapat menemui pepijat serta risiko keselamatan lebih cepat daripada yang mungkin dengan penyelesaian CMS dalaman. (Sukar untuk mengetahui tentang kelemahan apabila satu cara untuk mengetahui sebenarnya adalah mengeksploitasi kelemahan, dan mempunyai pangkalan pengguna yang besar menjadikan penemuan lebih berkemungkinan besar.)

Kelemahannya ialah penggodam dengan niat jahat mengetahui dengan tepat cara tapak web anda dibina. Mereka sudah mempunyai 'cetak biru' ke tapak anda. Dan jika terdapat sebarang kelemahan dalam teras, tema atau pemalam yang anda gunakan, itu adalah sesuatu yang mereka akan dapat ketahui tanpa mendapat akses ke bahagian belakang tapak anda.

Jadi dalam siaran ini, saya akan menunjukkan kepada anda cara untuk membetulkan 5 ancaman keselamatan yang terdapat dalam mana-mana pemasangan lalai sepenuhnya WordPress. (Jika anda telah mengambil beberapa langkah berjaga-jaga, anda mungkin mendapati bahawa anda telah membetulkan satu atau dua, tetapi penting untuk membetulkan kelima-lima untuk meminimumkan risiko anda digodam.)

Tapak Anda Menunjukkan Anda Menggunakan WordPress, Serta Versi

Versi lalai WordPress akan mempunyai baris kod yang memberikan bahawa tapak anda dibina menggunakan WordPress, malah hingga versi kepada orang yang tahu di mana hendak mencari. Bergantung pada tema, ia mungkin dipaparkan secara visual pada setiap halaman tapak web anda.

Sebab ini boleh menjadi risiko keselamatan, adalah bahawa orang mungkin menyasarkan tapak anda tanpa sebab lain selain ia dibina di WordPress. Jika seseorang mendapati kelemahan keselamatan dalam teras WordPress, tema atau pemalam, mereka mungkin mencari jalan ke tapak anda untuk mengeksploitasinya. Manakala jika anda berjaya menyembunyikan bahawa tapak anda dibina dengan WordPress, orang yang mencari tapak WordPress menggunakan bot atau perangkak akan terpedaya untuk berfikir bahawa tapak anda bukan sasaran yang berdaya maju.

Cara membetulkannya:
Untuk membetulkan perkara ini, anda boleh menggunakan Sembunyikan Pemalam WP Saya. Dengan pemalam kecil yang berguna ini anda boleh mengelakkan trafik yang tidak diperlukan pada pelayan anda, dan pada masa yang sama, kekal selamat daripada serangan yang menyasarkan tapak WordPress secara khusus.

Semua Orang Tahu Lokasi Halaman Log Masuk/Kawasan Pentadbiran Anda

Jika anda masih menunjukkan bahawa anda menggunakan WordPress (aka, tidak menyembunyikannya secara aktif dengan contohnya menggunakan pemalam seperti Sembunyikan WP Saya), orang yang mempunyai niat jahat sudah tahu di mana hendak mencuba serangan kekerasan di tapak anda.

Cara membetulkannya:
Untuk membetulkan ancaman ini, dan secara drastik mengurangkan peluang untuk digodam, dan untuk mengurangkan tekanan pelayan, kami perlu menghentikan orang dan bot yang berniat jahat daripada mencapai halaman log masuk kami.

Terdapat dua cara utama untuk melakukan ini. Anda boleh sama ada menukar lokasi fizikal halaman log masuk anda kepada sesuatu yang lain dengan menggunakan pemalam (atau beberapa baris kod), atau anda boleh mengehadkan akses ke halaman log masuk dan kawasan pentadbir anda dengan alamat IP. Anda boleh melakukan ini dengan pemalam khusus untuk perkara ini, atau dengan pemalam keselamatan seperti Sucuri, Wordfence, iThemes Security Pro atau All In One WP Security & Firewall.

WordPress Mempunyai Awalan Jadual Lalai Yang Digunakan Semua Orang

Awalan jadual ialah apa yang terdapat sebelum nama jadual dalam pangkalan data anda. Daripada pengguna, dengan awalan WordPress standard, ia akan menjadi wp_users. Jika anda menggunakan awalan jadual lalai, ia memudahkan orang ramai mendapat akses ke tapak anda dengan mengeksploitasi kemungkinan kelemahan suntikan sql. Kerana mereka tahu dengan tepat tempat untuk menyuntik maklumat ke dalam pangkalan data anda untuk kemudian mendapatkan akses ke tapak anda.

Saya sebenarnya mempunyai salah satu laman web saya digodam kerana suntikan sql, jadi ini adalah ancaman yang sangat nyata yang perlu anda ambil tindakan balas.

Cara membetulkannya:
Syukurlah sangat mudah untuk menghapuskan ancaman ini. Jika anda telah memasang WordPress menggunakan awalan wp_ lalai, anda boleh menukarnya dengan mudah menggunakan pemalam seperti Sucuri. Mula-mula, anda perlu membuat sandaran pangkalan data anda sebelum anda menggunakan pilihan itu kerana terdapat kemungkinan kecil berlaku masalah. Anda boleh melakukan ini dengan klik butang. Kemudian anda boleh memilih awalan baharu, atau biarkan Sucuri menjana awalan baharu secara rawak untuk anda.

Nota: Jika anda baru memasang WordPress buat kali pertama, anda boleh menukarnya dalam antara muka pemasangan.

Tema WordPress & Fail Plugin Boleh Disunting Melalui Papan Pemuka

Masalahnya ialah jika penggodam mendapat akses ke laman web anda, mereka boleh melakukan banyak kerosakan. Mereka boleh membuat tapak web anda menjangkiti orang lain dengan perisian hasad (yang boleh berakhir dengan tapak anda dimasukkan ke dalam senarai hitam Google dan dinyahindex daripada enjin carian), merosakkan tapak web anda atau membuka pintu belakang dengan mudah.

Cara membetulkannya:
Anda boleh sama ada menambah baris kod ini pada fail wp-config.php anda:

define( 'DISALLOW_FILE_EDIT', true );

Atau gunakan pemalam keselamatan untuk melakukannya untuk anda (yang pada asasnya hanya akan memasukkan baris kod itu untuk anda). Satu-satunya masalah ialah terdapat pemalam yang membolehkan orang ramai menghidupkan dan mematikan keupayaan ini, jadi penggodam yang sangat berdedikasi mungkin boleh memasang pemalam, menghidupkan pemalam dan kemudian mendapat akses kepada kod pengeditan tanpa akses FTP.

Jika anda ingin menjadi sangat teliti dan melindungi daripada ini, anda boleh melumpuhkan semua kemas kini/pemasangan pemalam dan tema dengan menambahkan baris kod ini pada wp-config.php:

define( 'DISALLOW_FILE_MODS', true );

Tetapi jelas sekali ini bermakna anda perlu menukar nilainya kepada palsu setiap kali anda ingin mengemas kini atau memasang pemalam atau tema (kami tidak benar-benar mengesyorkan pilihan ini, kerana memastikan tema dan pemalam dikemas kini ialah salah satu cara terbaik untuk memastikan tapak anda kurang terdedah).

WordPress Mempunyai Tetapan Firewall Sangat Terbuka Yang Boleh Membenarkan Bot Berniat Hasad Yang Dikenali Mencuba Serangan

Tetapan tembok api lalai WordPress sebenarnya berada di sisi liberal. Ini bermakna beberapa bot yang tidak diingini dan pelawat lain yang tidak diingini mendapat lampu hijau.

Cara membetulkannya:
Anda boleh menjadikannya lebih baik dengan memasang peraturan tembok api senarai hitam asas 5G, sama ada dengan menyalinnya secara manual ke dalam fail .htaccess anda, (anda boleh menemuinya di sini) atau dengan memasang pemalam ini, atau menggunakan pemalam keselamatan untuk mengoptimumkan dengan lebih baik peraturan dalam .htaccess anda.

Percubaan Log Masuk WordPress Tanpa Had

Walaupun tetapan lalai sememangnya percubaan log masuk tanpa had, anda mungkin telah memilih untuk mengehadkan percubaan log masuk apabila anda memasang WordPress di tapak anda. Jika anda tidak melakukannya, bagaimanapun, ia adalah penyelesaian yang sangat mudah.

Cara membetulkannya:
Hanya pasang pemalam Had Percubaan Log Masuk. Atau, jika anda menggunakan pengehosan WPEngine ini adalah ciri yang telah mereka sediakan untuk anda – tiada pemalam diperlukan! Jika anda sudah melindungi kawasan log masuk anda dengan hanya membenarkan alamat IP anda sendiri mengakses papan pemuka, anda tidak perlu melakukan ini. Tetapi jika anda hanya menyembunyikan alamat halaman log masuk anda, ia merupakan perlindungan berganda yang bagus daripada kemungkinan serangan kekerasan.

Kesimpulan

Jenayah siber berkembang pesat dan internet sedang dalam perjalanan menjadi rumah kepada lebih ramai penjenayah daripada ‘dunia sebenar.’ Di sesetengah negara perkara ini telah pun berlaku. Dan walaupun sebahagian besar daripada ini adalah penipuan kad kredit dan bank, terdapat peningkatan bilangan penggodam di luar sana, dan sebagai pemilik tapak web kami perlu melindungi diri kami dan tapak kami sebaik mungkin.

Walaupun pemasangan lalai WordPress mempunyai beberapa kelemahan, keindahan WordPress benar-benar dalam kemudahan yang anda boleh menyelesaikan hampir semua masalah anda dengan tapak anda, termasuk ancaman keselamatan yang disebutkan dalam siaran ini. Selain mempunyai nama pengguna yang unik dan kata laluan yang kukuh, dengan memasang pemalam keselamatan, mengedit beberapa tetapan dan mungkin memasukkan satu atau dua baris kod, anda sudah boleh mengurangkan dengan ketara risiko tapak anda digodam atau diserang perisian hasad.

Adakah anda telah mengambil sebarang langkah untuk meningkatkan keselamatan tapak WordPress anda? Jenis apa? Kami ingin mendengar beberapa petua & kiat anda! Sila beritahu kami dalam ulasan.