Топ 11 причини защо WordPress може да бъде нападнат от хакери

Здравей, читателю! Доста е гадно когато разберете, че вашия WordPress сайт е бил нападнат от хакери. В тази статия ще ви разкажа кои са 11-те главни причини поради които може да бъдат хакнати WordPress сайтовете. Така ще може да избягвате тези грешки и да защитите вашия сайт.

Защо WordPress е мишена за хакери?

Първо, не само WordPress е уязвим срещу атаки, но и останалите уеб сайтове. Причината WordPress да е често срещана цел е защото WordPress е най популярната платформа за създаване и управление на сайт. Той «захранва» над 31% от всички сайтове.

Огромната популярност дава на хакерите лесен начин за намиране на сайтове които са по малко сигурни и които могат да бъдат хакнати. Някой хакери просто се учат как да хакват, докато други имат намерение да разпространяват вируси, като използват сайта за атака на други сайтове, или за изпращане на спам и т.н.

И така, да видим топ причините поради които вашия сайт може да бъде хакнат.

Несигурен уеб хостинг

Като и други сайтове, също и WordPress се разполага на уеб сървър. Някой хостинг компании не защитават по подходящия начин техните сървъри. Това прави всички сайтове на сървъра уязвими за атаки от хакери.

Това може лесно да се избегне като изберете най добрия хостинг доставчик за вашия сайт. Сигурните сървъри могат да спрат много атаките.

Използват се слаби пароли

Паролите са ключовете за вашия WordPress сайт. Трябва да използвате силни и уникални пароли за всеки от изброените акаунти, защото те могат да предоставят на хакера пълен достъп.

  • Вашия административен акаунт
  • Контролния панел на вашия хостинг
  • FTP акаунтите
  • MySQL база данни използвана от вашия сайт
  • Email акаунтите използвани за WordPress или хостинг акаунта

Всички тези акаунти са защитени от пароли. Слабите пароли много улесняват работата на хакерите. Може лесно да избегнете това като използвате силни и уникални пароли за всеки акаунт.

Незащитен достъп до wp-admin директория

Тази директория дава на ползвателя достъп до различни начини за атака и също така е най често срещаната мишена за атака на сайта. Оставяйки я незащитена отваряте различни възможности за хакери да атакуват сайта.

Първо трябва да защитите директорията със парола. Може да го направите от вашия хостинг акаунт. Търсете опция «Защита на директории».

защита на директории от хакери

Неправилни права върху файл

Правата върху файл са набор от правила които се използват от вашия уеб сървър. Тези права помагат на вашия сървър да контролира достъпа до файловете на вашия сайт. Грешни права могат да дадат на хакера достъп до тяхното редактиране.

Всички файлове трябва да бъдат със 644 права. Всички папки в сайта би трябвало да имат 755 права.

права върху файлове и папки

Не обновявате WordPress

Всяка нова версия на WordPress поправя грешки и дупки в сигурността. Ако не обновявате WordPress, то оставяте вашия сайт уязвим на атаки от хакери.

Не обновявате разширенията и/или темите

Както и самия WordPress, обновяването на темите и разширенията е много важно. Ако използвате стара версия на тема или разширение това прави сайта ви лесна мишена. Дупките в сигурността се откриват често и авторите на темите и разширенията обикновено бързо ги оправят. Но само от вас зависи дали ще ги обновявате своевременно.

Използване на обикновен FTP достъп вместо Защитен SFTP/SSH

FTP акаунтите се използват за качване на файлове на вашия уеб сървър като използвате FTP мениджъри. Повечето хостинг компании подържат FTP връзки използващи различни протоколи за връзка – FTP, SFTP или SSH.

SFTP

Когато се свързвате със вашия сайт използвайки обикновен FTP, вашата парола се изпраща на сървъра нешифрована и лесно може да бъде открадната. Би трябвало винаги да използвате SFTP или SSH.

Използвате «Admin» като име за вход

Използвайки «admin» като име за вход не се препоръчва. Сменете го!

Платени теми и разширения предлагани безплатно

В интернет се предлагат много платени версии на теми и разширения безплатно. Но както знаете само сиренето във капана е без пари. Свалянето им от непроверени източници е много опасно. Не само че може да изложите сайта на опасност, но те могат да бъдат използвани за кражба на деликатна информация.

Би трябвало винаги да сваляте разширенията и темите от сайта на разработчика или от официалния сайт на WordPress. Ако не може да си позволите или не искате да купувате премиум разширение или тема, те винаги имат безплатни версии. Безплатните версии може да не са толкова добри като платените, но и те ще ви вършат работа и най важното няма да изложат сайта на опасност.

Не защитен wp-config.php

Файла за настройки wp-config.php съдържа данните за вход във вашата база данни. Ако бъде компрометиран, ще разкрие информация която ще даде на хакерите пълен достъп до вашия сайт.

Може да добавите допълнителен слой за защита, като забраните достъпа до wp-config файла като използвате .htaccess. Просто добавете този малък код във вашия .htaccess файл:

<files wp-config.php>
order allow,deny
deny from all
</files>

Не сменяте името wp_ на таблиците във базата данни

Много експерти препоръчват да смените името по подразбиране на таблиците във базата данни. По подразбиране WordPress използва wp_ като разширение на таблиците във вашата база данни. Препоръчва се да използвате име което е по трудно за отгатване. Ако не сте го направили при първоначалната инсталация на WordPress, то използвайте информацията по надолу.

Отворете вашия wp-config.php файл и променете в реда: $table_prefix  = ‘wp_’; wp_ на нещо друго, например wp_a12345678_

префикс на таблиците в базата данни

Ще изглежда ето така:

$table_prefix  = 'wp_a12345678_';

Забележка: Може да използвате само малки букви и числа!

След това влезте във вашия хостинг -> phpMyAdmin -> SQL и във полето поставете този код:

RENAME table `wp_commentmeta` TO `wp_a12345678_commentmeta`;
RENAME table `wp_comments` TO `wp_a12345678_comments`;
RENAME table `wp_links` TO `wp_a12345678_links`;
RENAME table `wp_options` TO `wp_a12345678_options`;
RENAME table `wp_postmeta` TO `wp_a12345678_postmeta`;
RENAME table `wp_posts` TO `wp_a12345678_posts`;
RENAME table `wp_terms` TO `wp_a12345678_terms`;
RENAME table `wp_termmeta` TO `wp_a12345678_termmeta`;
RENAME table `wp_term_relationships` TO `wp_a12345678_term_relationships`;
RENAME table `wp_term_taxonomy` TO `wp_a12345678_term_taxonomy`;
RENAME table `wp_usermeta` TO `wp_a12345678_usermeta`;
RENAME table `wp_users` TO `wp_a12345678_users`;

sql код

Натиснете бутон «Изпълнение».

След това поставете този код който ще ви покаже други таблици които използват wp_:

SELECT * FROM `wp_a12345678_options` WHERE `option_name` LIKE '%wp_%'

sql команда

Този код ще покаже много резултати и вие ръчно трябва да смените имената във файловете.

Последно изпълнете този код:

SELECT * FROM `wp_a12345678_usermeta` WHERE `meta_key` LIKE '%wp_%'

sql команда

Променете името wp_ на новото във показаните файлове.

Преди да правите каквото и да е със вашата база данни, ЗАДЪЛЖИТЕЛНО направете резервно копие, за да може да я възстановите ако нещо се обърка!

Надявам се статията да ви помогне да защитите от хакерски атаки вашия WordPress сайт. Успех.

С уважение, Николай Томов.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *