11 Top Reasons Why WordPress Sites Get Hacked (and How to Prevent it)

Recently, jeden z naszych czytelników zapytał nas, dlaczego witryny WordPress zostają zhakowane? Jest to frustrujące, aby dowiedzieć się, że Twoja witryna WordPress została zhakowana. W tym artykule podzielimy się najważniejszymi powodami, dla których witryna WordPress zostaje zhakowana, abyś mógł uniknąć tych błędów i chronić swoją witrynę.

Why WordPress sites get hacked?

Why is WordPress Targeted by Hackers?

Po pierwsze, to nie jest tylko WordPress. Wszystkie strony internetowe w Internecie są podatne na próby włamania.

Powodem, dla którego witryny WordPress są częstym celem, jest to, że WordPress jest najpopularniejszym na świecie kreatorem stron internetowych. To uprawnienia ponad 31% wszystkich stron internetowych, co oznacza setki milionów stron internetowych na całym świecie.

Ta ogromna popularność daje hakerom łatwy sposób na znalezienie stron internetowych, które są mniej bezpieczne, więc mogą go wykorzystać.

Hakerzy mają różne rodzaje motywów, aby włamać się do witryny. Niektórzy są początkujący, którzy dopiero uczą się wykorzystywać mniej bezpieczne witryny.

Niektórzy hakerzy mają złośliwe zamiary, takie jak dystrybucja złośliwego oprogramowania, używanie witryny do atakowania innych witryn lub spamowanie Internetu.

Mając to na uwadze, spójrzmy na niektóre z głównych przyczyn witryn WordPress coraz hacked, i jak zapobiec witryny z hacked.

1. Insecure Web Hosting

Podobnie jak wszystkie strony internetowe, witryny WordPress są hostowane na serwerze internetowym. Niektóre firmy hostingowe nie odpowiednio zabezpieczyć swoją platformę hostingową. To sprawia, że wszystkie strony internetowe hostowane na ich serwerach są podatne na próby włamania.

To można łatwo uniknąć poprzez wybranie najlepszego dostawcy usług hostingowych WordPress dla Twojej witryny. Zapewnia to, że witryna jest hostowany na bezpiecznej platformie. Odpowiednio zabezpieczone serwery mogą zablokować wiele z najczęstszych ataków na witryny WordPress.

Jeśli chcesz podjąć dodatkowe środki ostrożności, to zalecamy korzystanie z zarządzanego dostawcy usług hostingowych WordPress.

2. Używanie słabych haseł

Używanie słabych haseł

Hasła są kluczami do Twojej witryny WordPress. Musisz upewnić się, że używasz silnego, unikalnego hasła dla każdego z poniższych kont, ponieważ wszystkie one mogą zapewnić hakerowi pełny dostęp do Twojej witryny.

  • Twoje konto administratora WordPressa
  • Konto panelu sterowania hostingu
  • Konta FTP
  • Baza danych MySQL używana dla Twojej witryny WordPress
  • Konta e-mail używane dla administratora WordPressa lub konta hostingowego

Wszystkie te konta są chronione hasłami. Korzystanie ze słabych haseł ułatwia hakerom złamać hasła za pomocą niektórych podstawowych narzędzi hakerskich.

Możesz łatwo tego uniknąć, używając unikalnych i silnych haseł dla każdego konta. Zobacz nasz przewodnik po najlepszym sposobie zarządzania hasłami dla początkujących WordPress, aby dowiedzieć się, jak zarządzać wszystkimi tymi silnymi hasłami.

3. niezabezpieczony dostęp do WordPress Admin (wp-admin Directory)

Obszar administracyjny WordPress daje użytkownikowi dostęp do wykonywania różnych działań w witrynie WordPress. Jest to również najczęściej atakowany obszar witryny WordPress.

Pozostawienie go bez ochrony pozwala hakerom próbować różnych podejść do złamania Twojej witryny. Możesz utrudnić im to, dodając warstwy uwierzytelniania do swojego katalogu administracyjnego WordPress.

Po pierwsze powinieneś zabezpieczyć hasłem swój obszar administracyjny WordPress. To dodaje dodatkową warstwę bezpieczeństwa, a każdy, kto próbuje uzyskać dostęp do WordPress admin będzie musiał podać dodatkowe hasło.

Jeśli prowadzisz witrynę WordPress z wieloma autorami lub wieloma użytkownikami, to możesz wymusić silne hasła dla wszystkich użytkowników w swojej witrynie. Możesz również dodać uwierzytelnianie dwuskładnikowe, aby jeszcze bardziej utrudnić hakerom wejście do twojego obszaru administracyjnego WordPress.

4. Nieprawidłowe uprawnienia do plików

Uprawnienia do plików

Uprawnienia do plików to zestaw reguł używanych przez Twój serwer internetowy. Uprawnienia te pomagają serwerowi sieciowemu kontrolować dostęp do plików w witrynie. Nieprawidłowe uprawnienia do plików mogą dać hakerowi dostęp do zapisu i zmiany tych plików.

Wszystkie twoje pliki WordPress powinny mieć wartość 644 jako uprawnienia do plików. Wszystkie foldery w witrynie WordPress powinny mieć 755 jako ich uprawnienia do plików.

Zobacz nasz przewodnik, jak naprawić problem przesyłania obrazów w WordPress, aby dowiedzieć się, jak zastosować te uprawnienia do plików.

5. Not Updating WordPress

Niektórzy użytkownicy WordPressa boją się aktualizować swoje witryny WordPress. Obawiają się, że zrobienie tego spowoduje uszkodzenie ich witryny.

Każda nowa wersja WordPressa usuwa błędy i luki w zabezpieczeniach. Jeśli nie aktualizujesz WordPressa, to celowo zostawiasz swoją witrynę podatną na ataki.

Jeśli obawiasz się, że aktualizacja złamie twoją witrynę, możesz utworzyć kompletną kopię zapasową WordPressa przed uruchomieniem aktualizacji. W ten sposób, jeśli coś nie działa, możesz łatwo powrócić do poprzedniej wersji.

6. nie aktualizowanie wtyczek lub motywu

Jak podstawowe oprogramowanie WordPress, aktualizowanie motywu i wtyczek jest równie ważne. Korzystanie z przestarzałej wtyczki lub motywu może sprawić, że Twoja witryna będzie podatna na ataki.

Błędy bezpieczeństwa i błędy są często odkrywane we wtyczkach i motywach WordPress. Zazwyczaj autorzy motywów i wtyczek szybko je naprawiają. Jeśli jednak użytkownik nie zaktualizuje swojego motywu lub wtyczki, nie będzie mógł nic z tym zrobić.

Upewnij się, że Twój motyw WordPress i wtyczki są aktualne.

7) Używanie zwykłego FTP zamiast SFTP/SSH

SFTP zamiast FTP

Konta FTP są używane do przesyłania plików na serwer WWW za pomocą klienta FTP. Większość dostawców usług hostingowych obsługuje połączenia FTP przy użyciu różnych protokołów. Możesz połączyć się za pomocą zwykłego FTP, SFTP lub SSH.

Gdy łączysz się ze swoją witryną za pomocą zwykłego FTP, twoje hasło jest wysyłane do serwera w postaci niezaszyfrowanej. Może być ono szpiegowane i łatwo skradzione. Zamiast używać FTP, powinieneś zawsze używać SFTP lub SSH.

Nie będziesz musiał zmieniać swojego klienta FTP. Większość klientów FTP może połączyć się z twoją stroną przez SFTP, jak również przez SSH. Musisz tylko zmienić protokół na 'SFTP – SSH’ podczas łączenia się z twoją stroną.

8. Używanie admina jako nazwy użytkownika WordPress

Używanie 'admin’ jako nazwy użytkownika WordPress nie jest zalecane. Jeśli twoja nazwa użytkownika administratora to admin, to powinieneś natychmiast zmienić to na inną nazwę użytkownika.

Dla szczegółowych instrukcji sprawdź nasz poradnik jak zmienić nazwę użytkownika WordPress.

9. Nulled Themes and Plugins

Malware

W internecie jest wiele stron, które rozprowadzają płatne wtyczki i motywy WordPress za darmo. Czasami łatwo jest ulec pokusie użycia tych nulled wtyczek i motywów na swojej stronie.

Pobieranie motywów i wtyczek WordPress z niewiarygodnych źródeł jest bardzo niebezpieczne. Nie tylko mogą one zagrozić bezpieczeństwu Twojej witryny, ale również mogą zostać wykorzystane do kradzieży poufnych informacji.

Powinieneś zawsze pobierać wtyczki i motywy WordPress z wiarygodnych źródeł, takich jak strona twórców wtyczek/tematów lub oficjalne repozytoria WordPress.

Jeśli nie możesz sobie pozwolić lub nie chcesz kupić wtyczki premium lub motywu, to zawsze dostępne są darmowe alternatywy dla tych produktów. Te darmowe wtyczki mogą nie być tak dobre jak ich płatne odpowiedniki, ale wykonają swoją pracę, a co najważniejsze zapewnią bezpieczeństwo twojej stronie.

Możesz również znaleźć zniżki dla wielu popularnych produktów WordPress w sekcji ofert na naszej stronie internetowej.

10. Nie zabezpiecza konfiguracji WordPress wp-config.php File

Plik konfiguracyjny WordPress wp-config.php zawiera poświadczenia logowania do bazy danych WordPress. Jeśli zostanie naruszony, ujawni informacje, które mogą dać hakerowi pełny dostęp do Twojej witryny.

Możesz dodać dodatkową warstwę ochrony, odmawiając dostępu do pliku wp-config za pomocą .htaccess. Po prostu dodaj ten mały kod do swojego pliku .htaccess.

<files wp-config.php>order allow,denydeny from all</files>

11. Not Changing WordPress Table Prefix

Many experts recommend that you should change the default WordPress table prefix. Domyślnie WordPress używa wp_ jako prefiksu dla tabel, które tworzy w Twojej bazie danych. Otrzymujesz opcję, aby zmienić go podczas instalacji.

Zaleca się, abyś użył prefiksu, który jest nieco bardziej skomplikowany. Utrudni to hakerom odgadnięcie nazw tabel w Twojej bazie danych.

W celu uzyskania szczegółowych instrukcji, zobacz nasz przewodnik, jak zmienić prefiks bazy danych WordPress, aby poprawić bezpieczeństwo.

Cleaning up a Hacked WordPress Site

Cleaning up a hacked WordPress site can be really painful. Jednak można to zrobić.

Oto kilka zasobów, które pomogą Ci rozpocząć czyszczenie zhakowanej witryny WordPress:

  • Przewodnik początkującego do naprawy zhakowanej witryny WordPress
  • Jak przeskanować witrynę WordPress w poszukiwaniu potencjalnie złośliwego kodu
  • Jak znaleźć backdoora w zhakowanej witrynie WordPress i naprawić go
  • Co zrobić, gdy jesteś zablokowany z administratora WordPress (wp-admin)
  • Przewodnik początkującego: jak przywrócić WordPress z kopii zapasowej

Porada bonusowa

Dla solidnego jak skała bezpieczeństwa, używamy Sucuri na wszystkich naszych witrynach WordPress. Sucuri zapewnia usługi wykrywania i usuwania złośliwego oprogramowania, a także zaporę sieciową, która ochroni Twoją witrynę przed najczęstszymi zagrożeniami.

Zobacz, jak Sucuri pomogło nam zablokować 450 000 ataków WordPress w ciągu 3 miesięcy

Mamy nadzieję, że ten artykuł pomógł Ci poznać najważniejsze powody, dla których witryna WordPress zostaje zhakowana. Możesz również chcieć zobaczyć nasz ostateczny przewodnik bezpieczeństwa WordPress, aby chronić swoją witrynę WordPress.

Jeśli podobał Ci się ten artykuł, to proszę zasubskrybuj nasz kanał YouTube dla samouczków wideo WordPress. Można również znaleźć nas na Twitterze i Facebook.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.