Niedawno jeden z naszych czytelników zapytał nas, dlaczego witryny WordPress są hakowane.
Odkrycie, że twoja witryna WordPress została zhakowana, jest frustrujące. Chociaż hakerzy atakują wszystkie witryny internetowe, być może popełniasz pewne błędy, które narażają twoją witrynę na atak.
W tym artykule podzielimy się najważniejszymi powodami, dla których witryny WordPress są hakowane, abyś mógł uniknąć tych błędów i zabezpieczyć swoją witrynę internetową.
Dlaczego WordPress jest celem ataków hakerów?
Po pierwsze, nie chodzi tylko o WordPress. Wszystkie witryny internetowe są podatne na próby włamań.
Powodem, dla którego witryny WordPress są częstym celem ataków, jest fakt, że WordPress jest najpopularniejszym na świecie narzędziem do tworzenia witryn internetowych. Obsługuje ponad 43% wszystkich witryn internetowych, co oznacza setki milionów witryn internetowych na całym świecie.
Ta ogromna popularność daje hakerom łatwy sposób na znalezienie witryn internetowych, które są mniej zabezpieczone, aby mogli je wykorzystać.
Hakerzy mają różne motywy, aby włamać się na witrynę internetową. Niektórzy to początkujący, którzy dopiero uczą się wykorzystywać mniej zabezpieczone witryny. Inni mają złośliwe intencje, takie jak rozpowszechnianie złośliwego oprogramowania, atakowanie innych witryn internetowych i wysyłanie spamu.
Mając to na uwadze, przyjrzyjmy się niektórym z głównych przyczyn włamań na witryny WordPress, abyś mógł dowiedzieć się, jak zapobiec włamaniu na twoją witrynę internetową.
1. Niezabezpieczony hosting
Podobnie jak wszystkie witryny internetowe, witryny WordPress są hostowane na serwerze WWW. Niektóre firmy hostingowe nie zabezpieczają odpowiednio swojej platformy hostingowej. Sprawia to, że wszystkie witryny internetowe hostowane na ich serwerach są podatne na próby włamań.
Można tego łatwo uniknąć, wybierając najlepszego dostawcę hostingu WordPress dla twojej witryny internetowej. Odpowiednio zabezpieczone serwery mogą zablokować wiele najczęstszych ataków na witryny WordPress.
Jeśli chcesz podjąć dodatkowe środki ostrożności, zalecamy skorzystanie z zarządzanego dostawcy hostingu WordPress.
2. Używanie słabych haseł
Hasła są kluczem do twojej witryny WordPress. Musisz upewnić się, że używasz silnego, unikatowego hasła dla każdego z poniższych kont, ponieważ wszystkie one mogą zapewnić hakerowi pełny dostęp do twojej witryny internetowej:
- Twoje konto administratora WordPress
- Twój panel sterowania hostingiem
- Twoje konta FTP
- Baza danych MySQL używana dla twojej witryny WordPress
- Wszystkie konta e-mail używane do administrowania WordPressem i hostingu
Wszystkie te konta są zabezpieczone hasłami. Używanie słabych haseł ułatwia hakerom ich złamanie przy użyciu podstawowych narzędzi hakerskich.
Można tego łatwo uniknąć, stosując unikatowe i silne hasła dla każdego konta. Zobacz nasz przewodnik na temat najlepszego sposobu zarządzania hasłami dla początkujących użytkowników WordPressa, aby dowiedzieć się, jak zarządzać tymi wszystkimi silnymi hasłami.
3. Niezabezpieczony dostęp do panelu administracyjnego WordPress (wp-admin)
Obszar administracyjny WordPress daje użytkownikowi dostęp do wykonywania różnych działań na twojej witrynie WordPress. Jest to również najczęściej atakowany obszar witryny WordPress.
Pozostawienie go bez ochrony pozwala hakerom wypróbować różne podejścia do złamania twojej witryny internetowej. Możesz im to utrudnić, dodając warstwy uwierzytelniania do twojego katalogu administratora.
Po pierwsze, powinieneś zabezpieczyć hasłem swój obszar administracyjny WordPress. Dodaje to dodatkową warstwę zabezpieczeń, a każdy, kto próbuje uzyskać dostęp do administratora WordPress, będzie musiał podać dodatkowe hasło.
Jeśli prowadzisz witrynę WordPress z wieloma autorami lub wieloma użytkownikami, możesz wymusić silne hasła dla wszystkich użytkowników w twojej witrynie. Możesz również dodać uwierzytelnianie dwuskładnikowe (2FA), aby jeszcze bardziej utrudnić hakerom wpisz obszar administracyjny WordPress.
4. Nieprawidłowe uprawnienia do plików
Uprawnienia do plików to zestaw reguł używanych przez twój serwer WWW. Uprawnienia te pomagają serwerowi WWW kontrolować dostęp do plików na twojej witrynie. Nieprawidłowe uprawnienia do plików mogą dać hakerowi dostęp do zapisu i zmiany tych plików.
Wszystkie twoje pliki WordPress powinny mieć wartość 644 jako uprawnienia do plików. Wszystkie katalogi na twojej witrynie WordPress powinny mieć wartość 755 jako uprawnienia do plików.
Zobacz nasz przewodnik na temat poprawki problemu z przesyłaniem obrazków w WordPress, aby dowiedzieć się, jak zastosować te uprawnienia do plików.
5. Nieaktualizowanie WordPressa
Niektórzy użytkownicy WordPressa boją się aktualizować swoje witryny internetowe. Obawiają się, że spowoduje to uszkodzenie ich witryny internetowej.
W każdej nowej wersji WordPressa poprawiono błędy i luki w zabezpieczeniach. Jeśli nie aktualizujesz WordPressa, to celowo narażasz swoją witrynę na ataki.
Jeśli obawiasz się, że aktualizacja zepsuje twoją witrynę internetową, możesz utworzyć pełną kopię zapasową WordPressa przed uruchomieniem aktualizacji. W ten sposób, jeśli coś nie zadziała, można łatwo powrócić do poprzedniej wersji.
Możesz dowiedzieć się więcej z naszego przewodnika dla początkujących, jak bezpiecznie aktualizować WordPressa.
6. Brak aktualizacji wtyczek lub motywów
Podobnie jak rdzeń oprogramowania WordPress, aktualizacja twojego motywu i wtyczek jest równie ważna. Korzystanie z nieaktualnych wtyczek lub motywów może sprawić, że twoja witryna będzie podatna na ataki.
Luki w zabezpieczeniach i błędy są często wykrywane we wtyczkach i motywach WordPress. Zazwyczaj autorzy motywów i wtyczek szybko je poprawiają. Jeśli jednak użytkownik nie zaktualizuje swojego motywu lub wtyczki, nic nie może na to poradzić.
Upewnij się, że twój motyw WordPress i wtyczki są aktualne. Jak to zrobić, dowiesz się z naszego przewodnika na temat właściwej kolejności aktualizacji WordPressa, wtyczek i motywów.
7. Używanie zwykłego FTP zamiast SFTP/SSH
Konta FTP służą do przesyłania plików na twój serwer WWW za pomocą klienta FTP. Większość dostawców hostingu obsługuje połączenia FTP przy użyciu różnych protokołów. Można łączyć się za pomocą zwykłego FTP, SFTP lub SSH.
Kiedy łączysz się z witryną za pomocą zwykłego FTP, twoje hasło jest wysyłane do serwera w postaci niezaszyfrowanej. Oznacza to, że można je szpiegować i łatwo ukraść. Zamiast korzystać z FTP, należy zawsze używać SFTP lub SSH.
Nie musisz zmieniać twojego klienta FTP. Większość klientów FTP może łączyć się z twoją witryną internetową zarówno przez SFTP, jak i SSH. Wystarczy zmienić protokół na „SFTP – SSH” podczas łączenia się z twoją witryną internetową.
8. Używanie administratora jako nazwy użytkownika WordPress
Używanie „admin” jako twojej nazwy użytkownika WordPress nie jest zalecane. Jeśli twoja nazwa administratora to „admin”, powinieneś natychmiast zmienić ją na inną.
Aby uzyskać szczegółowe instrukcje, zapoznaj się z naszym poradnikiem, jak zmienić twoją nazwę użytkownika WordPress.
9. Unieważnione motywy i wtyczki
W Internecie istnieje wiele witryn internetowych, które rozpowszechniają płatne wtyczki i motywy WordPress za darmo. Możesz czuć pokusę, aby użyć tych wtyczek i motywów w twojej witrynie.
Pobieranie motywów i wtyczek WordPress z niewiarygodnych źródeł jest bardzo niebezpieczne. Nie tylko mogą one zagrozić bezpieczeństwu twojej witryny internetowej, ale mogą również zostać wykorzystane do kradzieży poufnych informacji.
Wtyczki i motywy WordPress należy zawsze pobierać z wiarygodnych źródeł, takich jak witryna internetowa dewelopera lub oficjalne repozytoria WordPress.
Jeśli nie możesz sobie pozwolić na zakup wtyczki lub motywu premium, zawsze dostępne są darmowe alternatywy dla tych produktów. Te darmowe wtyczki mogą nie być tak dobre, jak ich płatne odpowiedniki, ale wykonają swoją pracę i, co najważniejsze, zapewnią bezpieczeństwo twojej witrynie internetowej.
Możesz również znaleźć zniżki na wiele popularnych produktów WordPress w sekcji ofert na naszej witrynie internetowej.
10. Brak zabezpieczenia pliku konfiguracyjnego WordPress wp-config.php
Plik konfiguracyjny WordPress wp-config. php zawiera Twoje dane uwierzytelniające do bazy danych WordPress. Jeśli zostanie naruszony, ujawni informacje, które mogą dać hakerowi pełny dostęp do twojej witryny internetowej.
Możesz dodać dodatkową warstwę ochrony, odmawiając dostępu do pliku wp-config za pomocą . htaccess. Wystarczy dodać ten kod do twojego pliku .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
11. Brak zmiany prefiksu tabeli WordPress
Wielu ekspertów zaleca zmianę domyślnego prefiksu tabeli WordPress. Domyślnie WordPress używa wp_ jako prefiksu dla tabel, które tworzy w twojej bazie danych. Podczas instalacji istnieje możliwość jego zmiany.
Zaleca się użycie bardziej złożonego prefiksu. Utrudni to hakerom odgadnięcie nazw tabel twojej bazy danych.
Szczegółowe instrukcje można znaleźć w naszym przewodniku na temat zmiany prefiksu bazy danych WordPress w celu poprawy zabezpieczeń.
Czyszczenie zhakowanej witryny WordPress
Czyszczenie zhakowanej witryny WordPress może być bolesne. Można to jednak zrobić.
Oto kilka zasób, które pomogą Ci rozpocząć czyszczenie zhakowanej witryny WordPress:
- Oznaki włamania na twoją witrynę WordPress (i jak je poprawić)
- Jak przeskanować twoją witrynę WordPress pod kątem potencjalnie złośliwego kodu?
- Jak znaleźć backdoora w zhakowanej witrynie WordPress i go poprawić?
- Co zrobić, gdy dostęp do panelu administracyjnego WordPress (wp-admin) jest zablokowany?
- Przewodnik dla początkujących, jak przywrócić WordPress z kopii zapasowej
Wskazówka bonusowa
Aby zapewnić solidne zabezpieczenia, Sucuri oferuje usługi wykrywania i usuwania złośliwego oprogramowania, a także zaporę internetową, która zabezpieczy twoją witrynę przed najczęstszymi zagrożeniami.
Przeczytaj relację o tym , jak Sucuri pomogło nam zablokować 450 000 ataków na WordPress w 3 miesiące.
Alternatywnie możesz skorzystać z naszych przystępnych cenowo profesjonalnych usług WPBeginner.
Jeśli twoja witryna internetowa została zhakowana, nasz zespół ekspertów może wyczyścić złośliwy kod, pliki i złośliwe oprogramowanie, aby upewnić się, że twoje wrażliwe dane są bezpieczne. Ceny zaczynają się od 249 USD.
Mamy nadzieję, że ten artykuł pomógł ci poznać główne powody, dla których witryna WordPress zostaje zhakowana. Możesz również zapoznać się z naszym przewodnikiem na temat tego, jak zwiększyć ruch na Twoim blogu lub naszymi poradami ekspertów, aby przyspieszyć działanie WordPressa.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Jiří Vaněk
What exactly do the directives for securing the wp-config.php file using the .htaccess file do? Do they deny access to anyone from the outside, allowing access only to the file by specific applications? Am I understanding it correctly?
Won’t this cause some other problem of not being able to access the file?
WPBeginner Support
It would prevent access from someone trying to open the file directly and in most cases should not cause a problem with limiting access this way.
Administrator
Jiří Vaněk
Thank you for answer. I just wanted to make sure that there could be a situation where I would break some internal WordPress communication. I definitely apply security.
SaifZiya
Thanks for these amazing tips. I going to add the code to .htaccess file now.
Amit Khandelwal
Hello, i have secure my wp-admin folder through folder privacy but how can i do the same for wp-login url?
Dragos
You can also not install in the default location your WordPress website so you can actually install the wp into a folder named „secure” and then with some tricks your visitors will enter to your website.com not website.com/secure in order to see your site.