Главная › Новости

Угрозы безопасности WordPress, которые следует учитывать

Опубликовано: 01.09.2018

Если у вас сайт на WordPress, уделять внимание безопасности очень важно. Безопасности блогов и сайтов на WordPress постоянно что-то угрожает. Часто вы узнаете о прорехе в безопасности тогда, когда уже поздно.

Лучше позаботиться о том, чтобы угрозы не материализовались, чем реагировать позже. Забота о безопасности WordPress может быть лучшим, что вы делали.

Вот 5 угроз безопасности WordPress , на которые вы должны обратить внимание, а также способы их предотвращения.

1. Логин при использовании разных комбинаций

Неавторизованные пользователи могут совершать попытку логина, используя комбинации имен и паролей. С помощью доступных им программ и инструментов они, в конце концов, смогут получить логин и пароль. Этот метод называется брутфорс .

Но у нас есть хорошая новость: вы можете предотвратить это, установив плагин. Плагин Limit Login Attempts устанавливает ограничение на количество попыток логина, которые может сделать пользователь. При превышении этого количества пользователь блокируется.

Читайте также:  Как ограничить число попыток входа в консоль WordPress

2. Подтверждение информации для входа

Основной недостаток текущей формы авторизации WordPress в том, что он информирует о том, какая часть информации введена неверно. Например, если имя пользователя правильное, а пароль неверен, WordPress сообщит об этом пользователю. Это упрощает использование брутфорса, поскольку взломщик точно знает, что нужно изменить — логин или пароль.

Это можно исправить, вставив следующий код в файл functions.php вашей WordPress темы:

function failed_login () { return 'the login information you have entered is incorrect.'; } add_filter ( 'login_errors', 'failed_login' );

3. Открытая глобальная регистрация

Каждый человек из любой точки мира может зарегистрироваться на вашем сайте. Эта возможность есть у всех WordPress сайтов, но по умолчанию она отключена. Если вы не нацелены на всемирную аудиторию, вам стоит оставить эту опцию выключенной.

Чтобы убедиться, что она выключена, перейдите в консоли во вкладку Параметры  →  Общие настройки. Убедитесь, что напротив пункта Членство не стоит галка " Любой может зарегистрироваться ". Также на всякий случай установите роль " подписчик " как роль по умолчанию для нового пользователя.

Читайте также:  Роли пользователей WordPress: разбираемся, кто есть кто

4. Доступ для редакторов

То, что владельцы WordPress сайтов предоставляют доступ редакторам — обычная ситуация. Хотя это помогает в разработке и верстке сайта, это также приводит к риску того, что кто-то получит доступ к вашей консоли. Через нее он сможет изменять тему, разметку, фон вашего сайта и так далее. Добавьте в ваш файл functions.php следующую строку, чтобы предотвратить несанкционированный доступ:

define ( 'DISALLOW_FILE_EDIT', true );

5. Версия WordPress

Любой человек с базовыми знаниями WordPress сможет узнать, какую версию платформы использует ваш сайт. Затем он сможет использовать конкретные слабые места этой версии платформы, чтобы получить доступ к вашему сайту. Вы можете предотвратить это , изменив информацию в метаданных шапки и в файле readme.html .

Чтобы изменить метаданные, используйте следующий код:

function remove_wp_version () { return ''; } add_filter ( 'the_generator', 'remove_wp_version' );

Что касается файла readme.html , просто измените заголовок на что угодно, что придет вам в голову. Только убедитесь, что это не будет расшифровано взломщиком. Вы можете вообще удалить его, если захотите, или просто удалить версию из файла.

Заключение

Мы рассказали о пяти угрозах безопасности WordPress, на которые вы должны обратить внимание, а также о способах их предотвращения. Конечно, это не единственные риски, с которыми вы столкнетесь при работе с сайтом на WordPress. Есть много способов и трюков, которые вы можете использовать, чтобы сделать ваш сайте надежным и защищенным от попыток вмешательства или взлома. Начните с этих пяти угроз, чтобы встать на правильный путь.

Источник: