WordPress является отличной CMS, но, как и все веб-приложения, она требует настройки от имени пользователя, для того, чтобы сделать ее хорошо защищённой от общих веб-угроз.
Если ваш WordPress-сайт был взломан или вы просто ищете практические способы обеспечения безопасности вашего сайта, то эти 10 причин ни в коем случае нельзя пропустить.
- Версия Вашего WordPress устарела
Использование устаревшей версии WordPress делает сайт более уязвимым. Ядро WordPress-а часто обновляется, повышая безопасность, добавляются исправления, которые повышают взломоустойчивость сайтов, использующих WordPress. Необходимо постоянно проверять актуальность версии вашего WordPress, кроме того, мы рекомендуем подписаться на рассылку обновлений WordPress. Таким образом, вы сможете получать уведомления о выпуске новой версии.
- Возможность просмотра Вашей версии WordPress
WordPress, по умолчанию, отображает свою версии в мета-теге «generator». Кроме того, WordPress включает в себя два других идентификатора, «readme.html» и «license.html» файл. В совокупности они могут быть огромной “дырой” и представлять уязвимость при сканировании ботами конкретных участков WordPress. После того, как бот подобрал вашу версию WordPress, он может приступить к перекрестной проверке его с сайтов, таких как Exploit-DB или Secunia для просмотра соответствующих уязвимостей.
Например: <meta name="generator" content="WordPress 4.2.1" />
- Вы используете предсказуемые префиксы для таблиц WordPress
На протяжении всего процесса установки WordPress, вам будет предложено указать префикс таблицы, с «wp_» быть по умолчанию. Злоумышленники могут использовать таблицы с префиксом WordPress по умолчанию в SQL инъекциях для взлома вашего сайта WordPress и использования его в своих интересах.
- Вы используете небезопасные плагины WordPress
Существуют тысячи небезопасных плагинов WordPress. Вы должны быть очень осторожны с установкой плагинов, так как они могут быть не до конца доработаны и содержать множество уязвимостей. Всегда, перед установкой, проверяйте дату релиза, обзоры, загрузки и отсутствие каких-либо уязвимостей, связанных с Exploit-DB или Secunia.
- Вы не заблокировали вашу папку wp-admin WordPress
Доступ к вашей папке администратора WordPress должен быть защищен. Ограничьте доступ в вашу папку администратора wp-admin, чтобы предотвратить нежелательные попытки взлома. Установите директории, защищённые паролем, на папку или установите специальный плагин, для ограничения количества неверных авторизаций, например, такой как Limit Login Attempts.
- Вы предоставляете все права для базы данных пользователям
В случае, если ваш WordPress сайт взломан, злоумышленник может получить полный доступ к базе данных, то есть возможность полностью удалить базу данных или отдельные таблицы. Чтобы этого не произошло, вы должны разрешить только 'INSERT', 'CREATE', 'ALTER', 'UPDATE' и 'SELECT' для пользователя базы данных WordPress.
- Ваш шаблон WordPress является небезопасным
Существуют небезопасные шаблоны WordPress, которые не полностью защищают базу данных и что позволяет злоумышленнику внедрить SQL. Удостоверьтесь в выборе шаблона WordPress перед его установкой. Проверку последних стандартов шаблонов WordPress вы можете выполнить с помощью плагина Theme-Check.
- Неправильно установлены разрешения WordPress
По умолчанию, файлы доступны для записи WordPress. Хотя, это может быть и удобно, но, это не является разумным решением оставить файлы доступными для записи в случае, если злоумышленник получит доступ к вашему сайту. Убедитесь, что вы установили правильные разрешения WordPress для файла или папки. Важно: установить wp-config.php разрешения 400. В этом случае пользователь имеет возможность только чтения информации.
Например: chmod 400
- Ваш логин WordPress несложный и легко предсказуем.
Например, используя имя пользователя "admin" и пароль по умолчанию "admin", вероятность взлома сайта является достаточно высокой. Создайте уникальное имя пользователя и пароль, чтобы свести к минимуму возможность взлома.
- Ваш компьютер заражен вирусами.
Вы должны быть уверены, что ваш компьютер не заражен вирусами. Также, необходимо обратить внимание на всех пользователей, для которых сохранён пароль в вашем FTP-клиенте типа FileZilla.
В случае утечки данных паролей, злоумышленник может подключиться к FTP вашего аккаунта и причинить вред. Чтобы этого не произошло, всегда проверяйте безопасность ваших локальных компьютеров.