Как един WordPress сайт може да бъде хакнат?

WordPress сайтовете са популярна цел сред хакерите, защото повечето от тях мислят, че са по-лесни за разбиване. Искаме да ви обясним как се хакват сайтовете и какво можете да направите, за да не се сблъсквате с този проблем. Дори без да разбирате от писане на код или инсталиране на плъгини, е доста лесно да защитите уебсайта си.

Предизвикателството за повечето потребители на WordPress е, че те дори не знаят дали сайтът им се атакува от хакери или не. Атаките често започват с ботове, които се опитват да намерят валидно потребителско име и парола, просто като изброят стотици хиляди комбинации от тях на вашия URL адрес. Тези атаки се наричат ​​brute force атаки. Платформата не уведомява потребителите за подобни атаки, така че какво може да направите?

Ако нямате поставена защитна стена или плъгин, които да следят тези атаки, няма да разпознаете дали сте под атака, освен ако не е твърде късно и хакерът получи достъп.

Хакерските атаки доста зачестяват напоследък и причината е икономическа. Броят на WordPress сайтове непрекъснато се увеличава и по този начин той става все по-популярна цел за злонамерени хора. Тъй като повечето хакове се извършват от автоматизиран софтуер, може да бъде доходоносно начинание да се напише бот, който може да разбие стотици хиляди сайтове наведнъж.

WordPress сайтовете не са безопасни по подразбиране и добрите уеб хостинг компании предприемат активни мерки за защита на сайтовете на своите клиенти.

WordPress изисква малко работа, за да остане в безопасност. Но ако се заемете с тази задача, ще се справите.

Как WordPress сайтовете биват хаквани?

Нека се потопим в това как се хакват WordPress сайтове и как мислят хакерите. Има редица входни точки, които те могат да използват, за да получат достъп до вашия уебсайт. Ще ви обясним за най-важните в тази статия, за да не оставите случайно “отворена врата” на вашия сайт.

На първо място трябва да разберете, че атаките ще се случват без значение колко голям или малък вашият сайт е. Хакерите пишат автоматизирани скриптове, които сканират целия интернет за сайтове на WordPress и анализират автоматично всеки един, който намерят. Тези скриптове ще сканират вашия уебсайт за често срещаните слабости, изброени по-долу. След като го направят те няма да пропуснат сайта ви само защото имате само 1000 посетители на месец.

Слаби пароли

Популярни атаки срещу сайтове са гореспоменатите brute force атаки. Искате да знаете как WordPress сайтовете се хакват с тях? Сега ще ви обясним подробно.

Първо хакер сканира вашия уебсайт за потребителски имена или имейл адреси на регистрирани потребители. Те могат лесно да бъдат намерени на администраторските архивни страници. Хакерите знаят, че последната част в URL адреса представлява потребителското име на дадения потребител. Понякога хакерите дори не се занимават да сканират потребителски имена, а просто изпробват общи входни данни като „администратор“.

Знаейки кои потребителски имена да пробват в своите атаки, хакерите стартират втората фаза. Brute force атаките е действието, когато хакерите опитват произволни комбинации от знаци, числа и специални символи, за да намерят валидна парола. В тези случаи намирането на валидна парола е чист късмет.

Речниковите атаки, от друга страна, са структурирани малко по-различно. Хакерите имат текстови файлове, съдържащи милиони думи от речници (оттук и името). Техните скриптове се опитват да влязат във вашия WordPress сайт, като комбинират всяка дума в тези файлове с дадено потребителско име.

И двете атаки изпълняват милиони опити за влизане срещу вашия сайт за кратък период от време. Но освен ако той не ви уведоми за неуспешни влизания, никога няма да разберете, че някой се опитва да влезе в него. Тези неуспешни влизания просто биха се натрупали във фонов режим и ще знаете, че вашият сайт е хакнат, когато някой получи достъп и направи нещо лошо с уебсайта ви.

Жалко е, че все още се хакват по този начин, особено след като WordPress уебсайта предлага генератор на пароли, който ви позволява да създавате защитени пароли и това ви предоставя автоматично силни пароли.

Стари версии, плъгини или теми

Втората често срещана слабост, която хакерите обичат да използват, е когато сайтовете имат остарели версии, теми или плъгини.

Дори и с автоматични актуализации, все още виждаме много WordPress сайтове, които са остарели.
Инвестирането в управляван хостинг е много по-евтино от поправянето на хакнат сайт (ако това е възможно дори).

Независимо дали можете да кодирате или не, сайтът ви трябва да се актуализира редовно. Агенциите за управляван хостинг са най-добрата опция, която имате, ако не се чувствате уверени, че сами се справяте с актуализациите.

Социално инженерство

Всички знаем за социалното инженерство от нашите пощенски кутии. Винаги, когато получаваме имейл, който изглежда, че е от PayPal, но има няколко печатни грешки или странни URL адреси, го разпознаваме и го изтриваме. Знаем, че PayPal никога няма да изпрати такъв имейл и разбираме, че хакер току-що е опитал фишинг за нашето влизане в PayPal. Подобни имейли излизат за банкови данни за вход, пазаруване и т.н.

Потенциално това може да се случи и с вашия WordPress уебсайт. Като преглеждат вашия сайт, хакерите могат да идентифицират имейл адресите на вашите потребители и след това да им изпращат фишинг имейли. Понякога ще се представят за разработчици на WordPress, анализатори на сигурността, служители на вашата хостинг компания или всяка друга услуга, която може да се нуждае от вход на вашия уебсайт. Трябва да бъдете много предпазливи с такива имейли. Сайтовете на WordPress се хакват не само чрез експлоатация на техния код, но и чрез експлоатация на потребителите им с подобни имейли.

Макар да си мислите, че това не може да се случи с вас, защото сте единственият потребител и може би сте прав. Вие лично може да сте наясно с тази заплаха за сигурността. Но какво да кажем за другите потребители? Да кажем, например, че управлявате успешен магазин на WooCommerce и имате стотици или дори хиляди клиентски данни за вход във вашата база данни. Дали и те биха били наясно със социалното инженерство, което се опитва да компрометира своите данни за вход?

Как да избегнете хакването на вашия сайт?

Сега ви показахме едва три от най-лесните начини за хакване на WordPress сайт. Но сега ще ви покажем и как да предотвратите тези “нападки” върху сайта ви с няколко лесни съвета.

Пробвайте да подобрите сигурността на уебсайта ви с тези лесни стъпки:

• Изберете силни и сложни пароли за потребителите ви. WordPress платформата предлага генератор на пароли, които са доста сигурни. Но дори и да решите вие сами да ги измислите, препоръчваме да са с поне 16 символа.
• Инвестирайте в добър и качествен хостинг.
• Винаги инсталирайте най-скорошните ъпдейти.
• Научете потребители ви за социалното инженерство, как работи то и как може да бъде избегнато.
• Премахнете теми и плъгини, които вече не използвате.
• Инсталирайте инструменти като Webarx и iThemes, които защитават WordPress уебсайта ви допълнително.
• Архивирайте редовно сайта си.

С тази статия ви показваме само най-лесните, но и едни от най-използваните начини за хакване на WordPress сайта ви. Въпреки това има още много, така че внимавайте и следвайте всички изброени стъпки по-горе. Ако имате проблем с хакване на уебсайта ни, свържете се с нас, за да помогнем.

Повече по темата

• Полезни WordPress Chrome разширения
• Как да подобрите търсенето в WordPress сайт
• WordPress поддръжка: Най-добри практики
• Как (и кога) да изчистите кеша в WordPress?
• Как да сканирате вашия WordPress сайт за зловреден софтуер в 4 лесни стъпки