Руководство по безопасности WordPress в 2020 году
Приветствую, друзья!
WordPress — одна из самых популярных систем управления контентом, и на то есть веские причины. Он прост в использовании, для него доступны тысячи тем и плагинов, и вы можете создать любой тип веб-сайта. Неудивительно, что WordPress поддерживает 35,1% всех сайтов в Интернете.
Но его популярность приходит с ценой. WordPress часто является целью хакеров. Согласно Sucuri, в 2018 году 90% всех запросов на очистку веб-сайтов принадлежали WordPress, что на 7% больше, чем в 2017 году.
Таким образом, защита вашего сайта WordPress должна быть на вершине вашего списка, независимо от того, это у вас личный блог или портфолио, бизнес-сайт или интернет-магазин.
Когда речь заходит о безопасности WordPress, пользователи обычно попадают в два лагеря: те, кто серьезно относится к безопасности и принимают меры предосторожности, и те, кто верит или надеется, что этого никогда не случится, потому что их сайт недостаточно важен.
Чтобы лучше понять серьезность проблем безопасности, связанных с веб-сайтами, не забывайте иногда заходить на страницу интернет-статистики онлайн. Там вы можете увидеть точное количество веб-сайтов, взломанных каждый день, и даже наблюдать за их ростом в режиме реального времени.
22 шага, чтобы защитить ваш сайт WordPress
Чтобы ваш сайт не стал одним из сайтов в сети «Live Stats», следуйте приведенным ниже советам и защитите свой веб-сайт WordPress.
1. Выберите хостинг-компанию с функциями безопасности
Первым шагом к защите вашего сайта WordPress является инвестирование в хостинговую компанию, которая реализует надлежащие функции безопасности. Это включает в себя поддержку последней версии PHP, MySQL и Apache, а также брандмауэр и круглосуточный мониторинг безопасности.
Если возможно, выберите хостинговую компанию, которая выполняет ежедневное резервное копирование и регулярное сканирование на наличие вредоносных программ. Вы даже можете найти хостинговые компании, которые используют различные меры по предотвращению DDOS.
Ваша хостинговая компания, как правило, является первым бастионом, к которому нужно прорваться, чтобы получить доступ к вашему сайту, поэтому инвестирование и покупка более дорогого плана хостинга определенно окупятся.
2. Используйте надежные пароли
Убедитесь, что пароли для вашего сайта WordPress, а также для вашей учетной записи хостинга защищены. Используйте сочетание прописных и строчных букв, цифр и символов, чтобы придумать надежный пароль. Вы также можете использовать менеджер паролей, например «LastPass», для генерации и хранения безопасных паролей для вас.
3. Отказ от имени пользователя по умолчанию
WordPress раньше использовал имя пользователя по умолчанию как «admin», и большинство пользователей никогда не пытались изменить его. В результате имя пользователя «admin», как правило, первым, что попытаются взломать при запуске атаки методом перебора.
Таким образом, вы никогда не должны использовать имя администратора по умолчанию для вашего сайта WordPress. Если вы недавно установили свой веб-сайт WordPress, скорее всего, вам пришлось установить собственное имя пользователя. Но если вы являетесь давним пользователем WordPress, вы до сих пор можете использовать имя администратора по умолчанию.
Если это так, создайте новое имя администратора для вашего сайта, перейдя в «Пользователи — Добавить нового» и выберите надежное имя пользователя и пароль. Установите роль администратора и нажмите кнопку «Добавить нового пользователя».
Затем вы войдете в систему с этими новыми учетными данными и удалите своего старого администратора. Не забудьте назначить весь ваш контент новому администратору перед удалением старого.
4. Используйте аккаунт участника или редактора для публикации на своем сайте.
Если вы хотите продвинуть вышеупомянутый совет на шаг вперед, рассмотрите возможность создания учетной записи участника или редактора для добавления новых сообщений и статей на ваш сайт. В результате хакерам будет сложнее нанести ущерб вашему сайту, так как участники и редакторы обычно не имеют прав администратора.
5. Используйте плагин резервного копирования
Если вы еще не создаете резервную копию своего сайта, вам нужно начать делать это прямо сейчас. Система резервного копирования поможет вам восстановить ваш сайт, если произойдет худшее и ваш сайт будет взломан.
Используйте плагин, такой как UpdraftPlus, чтобы создать регулярное расписание резервного копирования для своего веб-сайта, и не забывайте хранить файлы резервных копий вне сайта, чтобы эти файлы также не заразились.
6. Защищайте область администратора (админку)
Когда дело доходит до ужесточения административной области, вам необходимо изменить URL-адрес администратора по умолчанию и ограничить число неудачных попыток входа в систему, прежде чем пользователь будет заблокирован на вашем сайте.
По умолчанию URL-адрес администратора вашего сайта будет выглядеть следующим образом: «http://yourdomain.ru/wp-admin». Хакеры знают это и будут пытаться получить доступ к этому URL напрямую, чтобы они могли получить доступ к вашему сайту.
Вы можете изменить этот URL с помощью плагина, такого как WPS Hide Login.
Для ограничения количества неудачных попыток входа в систему вы можете использовать плагин Login Lockdown.
7. Держите файлы в актуальном состоянии
Как я уже упоминал ранее, устаревшие файлы представляют угрозу безопасности, поскольку они делают ваш сайт уязвимым для других эксплойтов. Вот почему вам необходимо установить обновления, как только они будут выпущены.
Пока вы это делаете, не забывайте регулярно просматривать установленные плагины, а также деактивировать и удалять плагины, которые вы больше не используете.
8. Защитите свой компьютер
Возможно, вам интересно, какое отношение ваш компьютер имеет к вашему веб-сайту. Если ваш компьютер заражен вирусом, и вы заходите на свой сайт или загружаете на него файлы, эти зараженные файлы могут также заразить ваш сайт. Короче говоря, вы должны убедиться, что:
- Не используйте общедоступные сети Wi-Fi для доступа к вашему сайту.
- Установите антивирусное программное обеспечение и убедитесь, что оно обновлено
9. Измените префикс вашей базы данных
Еще один факт, хорошо известный хакерам WordPress, заключается в том, что префикс вашей базы данных имеет значение wp. Этот факт позволяет им легко угадать префикс таблицы и использовать автоматические SQL-инъекции для получения доступа к вашему сайту.
Изменение префикса базы данных — это ручной процесс, который включает редактирование файла wp-config.php и изменение имен таблиц с помощью phpMyAdmin. Перед внесением изменений обязательно сделайте резервную копию своего сайта в качестве превентивной меры.
Вам нужно будет войти в свою учетную запись хостинга и получить доступ к вашей cPanel или любой другой панели управления, которую использует ваш хост. Затем откройте диспетчер файлов и найдите файл wp-config.php в каталоге WordPress.
Найдите строку префикса таблицы, которая выглядит следующим образом: «$table_prefix», за которым следует знак «=» и сам префикс таблицы. Замените строку по умолчанию своим собственным префиксом, используя комбинацию цифр, подчеркиваний и букв следующим образом:
$table_prefix = 'hgwp_3456_';
Как только вы закончите редактирование файла wp-config.php, выйдите из Файлового менеджера и получите доступ к phpMyAdmin, чтобы вы могли изменить все имена таблиц. Делать это вручную может быть утомительно, так как всего вам нужно отредактировать 11 таблиц. Вместо этого вы можете ввести запрос SQL, перейдя на вкладку SQL.
Затем введите это:
RENAME table `wp_commentmeta` TO `hgwp_3456_commentmeta`;
RENAME table `wp_comments` TO `hgwp_3456_comments`;
RENAME table `wp_links` TO `hgwp_3456_links`;
RENAME table `wp_options` TO `hgwp_3456_options`;
RENAME table `wp_postmeta` TO `hgwp_3456_postmeta`;
RENAME table `wp_posts` TO `hgwp_3456_posts`;
RENAME table `wp_terms` TO `hgwp_3456_terms`;
RENAME table `wp_termmeta` TO `wp_a123456_termmeta`;
RENAME table `wp_term_relationships` TO `hgwp_3456_term_relationships`;
RENAME table `wp_term_taxonomy` TO `hgwp_3456_term_taxonomy`;
RENAME table `wp_usermeta` TO `hgwp_3456_usermeta`;
RENAME table `wp_users` TO `hgwp_3456_users`;
Хотя приведенный выше запрос должен повсеместно изменять префикс базы данных, рекомендуется выполнить другой запрос, чтобы убедиться, что все остальные файлы, использующие старый префикс базы данных, обновлены:
SELECT * FROM `hgwp_3456_options` WHERE `option_name` LIKE `%wp_%`
Вы также захотите выполнить поиск пользователя и заменить все оставшиеся старые префиксы новыми:
SELECT * FROM `hgwp_3456_usermeta` WHERE `meta_key` LIKE `%wp_%`
10. Защитите ваши файлы .htaccess и wp-config.php
.htaccess и wp-config.php — самые важные файлы в вашей установке WordPress. Таким образом, вы должны убедиться, что они в безопасности и защищены.
Просто добавьте приведенные ниже коды в ваш файл .htaccess вне тегов # BEGIN WordPress и # END WordPress, чтобы изменения не перезаписывались при каждом новом обновлении.
<Files wp-config.php>
order allow,deny
deny from all
</Files>
<Files .htaccess>
order allow,deny
deny from all
</Files>
<Files wp-login.php>
order deny,allow
Deny from all
# allow access from my IP address
allow from 192.168.1.1
</Files>
Приведенные выше фрагменты защитят ваши wp-config и .htaccess, а также ограничат доступ к странице wp-login.php.
Наконец, добавьте фрагмент ниже, чтобы предотвратить выполнение файла PHP:
<Files *.php>
deny from all
</Files>
11. Проверьте и измените права доступа к файлам.
Когда вы закончите защищать свои файлы .htaccess и wp-config.php, подождите немного в своей cPanel и проверьте права доступа к файлам и папкам на вашем веб-сайте WordPress.
Согласно кодексу WordPress, права доступа должны быть установлены следующим образом:
- Все каталоги должны быть 755 или 750
- Все файлы должны быть 644 или 640
- wp-config.php должен быть 600
Если ваши настройки отличаются, хакеры могут легко прочитать содержимое, а также изменить содержимое файлов и папок, что может привести к взлому вашего сайта, а также к взлому других сайтов на том же сервере.
12. Используйте двухфакторную аутентификацию
Подумайте об использовании плагина, такого как Google Authenticator, для настройки двухфакторной аутентификации на вашем сайте. Это означает, что помимо ввода пароля вам также потребуется ввести код, созданный мобильным приложением, для входа на ваш сайт. Это может остановить атаки методом перебора, поэтому рекомендуется установить его сейчас.
13. Отключить XML-RPC
XML-RPC позволяет вашему сайту устанавливать соединение с мобильными приложениями и плагинами WordPress, такими как «Jetpack». К сожалению, это также фаворит хакеров WordPress, потому что они могут использовать этот протокол для одновременного выполнения нескольких команд и получения доступа к вашему сайту. Используйте такой плагин, как «Disable XML-RPC plugin«, чтобы отключить эту функцию.
14. Используйте HTTPS и SSL
В интернете уже давно гудят сообщения в блогах и статьи о важности протокола HTTPS и о добавлении сертификатов безопасности SSL на ваш сайт.
HTTPS означает «Защищенный протокол передачи гипертекста», а SSL — «Защищенные сокеты». В двух словах, HTTPS позволяет браузеру посетителя установить безопасное соединение с вашим хост-сервером (и, следовательно, с вашим сайтом). Протокол HTTPS защищен через SSL. HTTPS и SSL вместе обеспечивают шифрование всей информации между браузером посетителей и вашим сайтом.
Использование обоих на вашем сайте не только повысит безопасность вашего сайта, но и повысит рейтинг поисковой системы, повысит доверие ваших посетителей и повысит коэффициент конверсии.
Поговорите со своим хостинг-провайдером и спросите о возможности получения SSL-сертификата или укажите направление в уважаемую компанию, где вы можете его купить.
15. Отключите редактирование тем и плагинов через панель управления WordPress.
Возможность редактировать свою тему и файлы плагинов прямо на панели инструментов WordPress удобна, когда вам нужно быстро добавить строку кода. Но это также означает, что любой, кто входит на ваш сайт, может получить доступ к этим файлам.
Отключите эту функцию, добавив следующий код в файл wp-config.php:
// Запрещаем редактирование файла
define ( 'DISALLOW_FILE_EDIT' , true );
16. Переместите файл wp-config.php в каталог, отличный от www.
Как упоминалось ранее, файл wp-config.php является одним из наиболее важных файлов в вашей установке WordPress. Сделайте его более трудным для доступа, переместив его из корневого каталога в каталог, недоступный для www.
- Для начала скопируйте содержимое файла wp-config.php в новый файл и сохраните его как wp-config.php.
- Вернитесь к своему старому файлу wp-config.php и добавьте строку кода ниже:
<?php
include ( '/home/yourname/wp-config.php' ) ;
- Загрузите и сохраните новый файл wp-config.php в другую папку.
17. Измените свои ключи безопасности WordPress
Ключи безопасности WordPress отвечают за шифрование информации, хранящейся в куки пользователя. Они расположены в файле wp-config.php и выглядят так:
define ( 'AUTH_KEY' , 'поместите вашу уникальную фразу здесь' ) ;
define ( 'SECURE_AUTH_KEY' , 'поместите здесь свою уникальную фразу' ) ;
define ( 'LOGGED_IN_KEY' , 'поместите вашу уникальную фразу здесь' ) ;
define ( 'NONCE_KEY' , 'поместите вашу уникальную фразу здесь' ) ;
define ( 'AUTH_SALT' , 'поместите вашу уникальную фразу здесь' ) ;
define ( 'SECURE_AUTH_SALT' , 'поместите здесь свою уникальную фразу' ) ;
define ( 'LOGGED_IN_SALT' , 'поместите здесь свою уникальную фразу' ) ;
define ( 'NONCE_SALT' , 'поместите вашу уникальную фразу здесь' ) ;
Используйте WordPress Salts Key Generator, чтобы изменить их и сделать ваш сайт более безопасным.
18. Отключить отчеты об ошибках
Отчеты об ошибках полезны для устранения неполадок и определения того, какой конкретный плагин или тема вызывает ошибку на вашем веб-сайте WordPress. Однако, как только система сообщит об ошибке, она также отобразит путь к вашему серверу. Излишне говорить, что это отличная возможность для хакеров узнать, как и где они могут воспользоваться уязвимостями на вашем сайте.
Вы можете отключить это, добавив следующий код в ваш файл wp-config.php:
error_reporting ( 0 );
@ini_set ( 'display_errors', 0 );
19. Удалите номер версии WordPress
Любой, кто заглянет в исходный код вашего сайта, сможет сказать, какую версию WordPress вы используете. Поскольку каждая версия WordPress имеет открытые журналы изменений, которые детализируют список ошибок и исправлений безопасности, они могут легко определить, какие дыры в безопасности они могут использовать.
К счастью, это легко исправить. Вы можете удалить номер версии WordPress, отредактировав файл functions.php вашей темы и добавив следующее:
remove_action ( 'wp_head' , 'wp_generator' );
20. Используйте заголовки безопасности
Еще один способ защитить ваш сайт WordPress — внедрить заголовки безопасности. Обычно они устанавливаются на уровне сервера, чтобы предотвратить хакерские атаки и уменьшить количество уязвимостей в системе безопасности. Вы можете добавить их самостоятельно, изменив файл functions.php вашей темы.
Кросс-скриптовые атаки
Добавьте следующий код в белый список разрешенного содержимого, сценария, стилей и других источников содержимого:
header('Content-Security-Policy: default-src https:');Это не позволит браузеру загружать вредоносные файлы.
Iframe clickjacking
Добавьте строку ниже, чтобы браузер не отображал страницу во фрейме:
header('X-Frame-Options: SAMEORIGIN');X-XSS-Protection и X-Content-Type-Options
Добавьте следующие строки, чтобы предотвратить атаки XSS, и скажите Internet Explorer, чтобы он не перехватывал MIME-типы.
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
Применять HTTPS
Добавьте код ниже, чтобы настроить браузер на использование только HTTPS:
header('Strict-Transport-Security:max-age=31536000; includeSubdomains; preload');Cookie с флагом HTTPOnly и Secure в WordPress
Скажите браузеру доверять только куки-файлу, установленному сервером, и что куки-файлы доступны по каналам SSL, добавив следующее:
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);
Если вы не хотите добавлять эти заголовки вручную, рассмотрите возможность использования такого плагина, как Security Headers. Независимо от того, какой метод вы выберете для реализации заголовков безопасности, обязательно протестируйте их, используя веб-сайт https://securityheaders.io и введя URL-адрес вашего сайта.
21. Предотвратите hotlinking
Hotlinking сам по себе не является нарушением безопасности, но, учитывая, что он ссылается на другой веб-сайт, использующий URL-адрес вашего сайта для прямой ссылки на изображение или другой медиафайл, он считается кражей. Таким образом, хотлинкинг может привести к неожиданным затратам не только потому, что вам придется иметь дело с юридическими последствиями, но также и потому, что ваш счет за хостинг может прийти выше крыши, если сайт, который украл ваше изображение, получает много трафика.
Добавьте приведенный ниже код в ваш файл .htaccess, если вы используете сервер Apache, и замените фиктивный домен своим действительным именем домена:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?domain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]
Кроме того, если вы используете серверы NGINX, вы захотите изменить свой конфигурационный файл следующим образом:
location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}
22. Выйдите из режима ожидания
Последний совет в этом руководстве по повышению безопасности вашего сайта — выход из режима простоя пользователей после определенного периода бездействия. Вы можете использовать плагин, такой как Inactive Logout, чтобы автоматически завершать неактивные сеансы.
Это необходимо, потому что если вы войдете на свой веб-сайт, чтобы добавить новую запись в блоге, и вас отвлекло другое задание, ваш сеанс может быть взломан, а хакеры могут злоупотребить ситуацией, чтобы заразить ваш сайт. Еще более важно прекратить неактивные сеансы, если у вас есть несколько пользователей на вашем сайте.
Как оправиться от взлома
Меры безопасности, описанные выше, являются отличным способом защитить ваш сайт. Но что, если ваш сайт все равно взломают? Вот несколько шагов, которые нужно предпринять в случае взлома вашего сайта.
1. Подтвердите взлом и смените пароль
Если ваш сайт был взломан, не паникуйте. Это не поможет вам, и дело сделано, поэтому важно действовать быстро. Начните с проверки вашего сайта и посмотрите, сможете ли вы войти в свою панель управления. Убедитесь, что ваш сайт перенаправляет на другой сайт, и не видите ли вы подозрительные или странные ссылки или рекламу.
Немедленно измените свой пароль и затем перейдите к следующему шагу.
2. Свяжитесь со своей хостинговой компанией
Свяжитесь с вашим хостом и дайте им знать, что ваш сайт был взломан. Они могут помочь вам определить источник взлома. Некоторые хосты также будут очищать ваш сайт и удалять вредоносный код и файлы.
Используйте резервную копию для восстановления вашего сайта
Если вы усердно работали над резервным копированием своего сайта, найдите резервную копию до взлома и используйте ее для восстановления своего сайта. Несмотря на то, что вы можете потерять часть контента, вы сможете запустить свой сайт так, как он был до атаки.
3. Сканирование вашего сайта на наличие вредоносных программ
Используйте бесплатный сканер «Sucuri» для сканирования вашего сайта на наличие вредоносных программ и выявления скомпрометированных файлов. Вы также можете выбрать службу очистки сайта, если вы не знаете, как удалить вредоносное ПО самостоятельно.
4. Проверьте пользователей вашего сайта
Войдите на свой сайт WordPress и перейдите во вкладку «Пользователи — Все пользователи». Убедитесь, что нет пользователей, которых там быть не должно, и удалите их при необходимости.
5. Измените свои секретные ключи
Используйте вышеупомянутый WordPress Salts Key Generator для генерации новых ключей безопасности и добавления их в файл wp-config.php. Поскольку эти ключи шифруют ваш пароль, хакеры будут оставаться в системе до тех пор, пока их куки не будут признаны недействительными. Новые ключи безопасности сделают именно это и вынудят хакера покинуть ваш сайт.
6. Наймите профессионала
Наконец, нанять профессионала, чтобы убрать взлом и удалить вредоносные программы с вашего сайта. Имейте в виду, что хакеры могут скрывать вредоносный код в нескольких файлах, поэтому, если у вас нет опыта удаления вредоносных программ, легко пропустить зараженный файл. Это позволяет хакерам снова взломать ваш сайт, поэтому настоятельно рекомендуется нанять профессионала.
7 самых распространенных типов уязвимостей WordPress
Прежде чем углубляться в эту статью, давайте обратимся к слону в комнате: безопасен ли WordPress? Ответ на этот вопрос — да. Ядро программного обеспечения WordPress защищено, и компания, стоящая за WordPress, серьезно относится к безопасности.
В их команду по безопасности входят 50 экспертов, в том числе ведущие разработчики и исследователи безопасности, которые работают за кулисами, чтобы обеспечить безопасность WordPress.
Фактически, большинство инцидентов и угроз безопасности являются результатом человеческой ошибки в сочетании с наличием уязвимости безопасности.
Существует семь типов уязвимостей WordPress, о которых вам необходимо знать:
- Устаревшие файлы WordPress
- Бэкдор эксплойты
- Фарма хаки
- Слабые пароли
- Вредоносные перенаправления
- Уязвимости в платформе хостинга
- Отказ в обслуживании
Давайте рассмотрим их и я объясню, чем именно они есть.
1. Устаревшие файлы WordPress
Устаревшие файлы WordPress относятся к версии WordPress, файлам тем и плагинов. Они представляют угрозу безопасности, потому что они оставляют ваш сайт подверженным другим уязвимостям, таким как бэкдор-эксплойты и хакерские атаки.
Таким образом, вы должны убедиться, что ваша версия WordPress обновлена, а также ваша тема и плагины. Вы должны активно применять обновления по мере их выпуска, потому что они не только поставляются с новыми функциями, но также включают различные исправления безопасности и исправления ошибок.
2. Бэкдор эксплойты
Когда дело доходит до бэкдор-эксплойтов, хакеры воспользуются устаревшими файлами WordPress, чтобы получить доступ к вашему сайту. Помимо устаревших файлов, они также могут получить доступ к вашему сайту через SFTP, FTP и т.п.
Получив доступ к вашему сайту, они могут заразить ваш сайт, а также могут заразить другие сайты, которые находятся на том же сервере, что и ваш сайт. Бэкдор-инъекции выглядят как обычные файлы WordPress для неопытного пользователя. Но за кулисами они используют ошибки в устаревших файлах, чтобы получить доступ к вашей базе данных и нанести ущерб как вашему сайту, так и тысячам других сайтов.
3. Pharma Hacks
Фарма хаки — это эксплойты уязвимостей в устаревших файлах WordPress, когда хакер вставляет код в эти файлы. После того, как код вставлен, поисковые системы отображают рекламу фармацевтических продуктов вместо вашего веб-сайта. Это может привести к тому, что поисковые системы будут отмечать ваш сайт как спам.
4. Слабые пароли
Слабые пароли могут быть легко запоминаемы, но они также позволяют хакерам получить доступ к вашему сайту с помощью атаки методом перебора. Атака методом перебора происходит, когда хакер использует автоматические сценарии, которые выполняются в фоновом режиме, чтобы попытаться использовать различные комбинации имени пользователя и пароля, пока не найдет рабочую комбинацию.
5. Вредоносные перенаправления
Аналогично использованию устаревших файлов и протокола FTP или SFTP для внедрения кода, который приводит к хакерскому вмешательству бэкдора, хакеры будут использовать файл .htaccess в вашей установке WordPress для перенаправления ваших посетителей на вредоносный веб-сайт.
Затем ваши посетители могут получить вирус или стать жертвой фишинга.
6. Уязвимости в платформе хостинга
Иногда безопасность вашего сайта может быть поставлена под угрозу, потому что вы используете хостинговую компанию, у которой нет таких функций безопасности, как брандмауэр или мониторинг файлов. Это обычно имеет место с более дешевыми хостинг-провайдерами, что означает, что выбор более дешевого хостинга, по иронии судьбы, будет стоить вам дороже, если ваш сайт будет взломан.
Имейте в виду, что более дешевые хостинговые платформы также представляют более высокий риск для безопасности, поскольку ваш сайт может быть заражен или взломан в результате использования хакерами уязвимостей на другом веб-сайте, размещенном на том же сервере.
7. Отказ в обслуживании
Атаки типа «отказ в обслуживании» или DDOS-атаки являются одной из самых опасных угроз для любого владельца сайта. В DDOS-атаке хакер будет использовать баги и ошибки в коде, приводящие к переполнению памяти операционной системы вашего сайта. DDOS-атаки обычно приводят к сбою большого количества сайтов, использующих определенную платформу, такую как WordPress.
Теперь, когда вы знаете, каковы общие уязвимости, связанные с WordPress, давайте перейдем к советам и рекомендациям по безопасности, которые помогут вам обезопасить свой сайт WordPress.
Завершение
WordPress — это мощная и популярная CMS, которая позволяет любому легко создать сайт. Но поскольку он так популярен, он также любимая цель для хакеров. К счастью, есть ряд шагов, которые вы можете предпринять, чтобы защитить свой сайт WordPress, и если вы будете следовать советам, приведенным в этой статье, вы будете на пути к созданию защищенного сайта WordPress.
До скорых встреч!