Как защитить свой сайт от хакеров


10 важных советов безопасности для защиты сайта от хакеров

Вы, наверное, думаете, что ваш сайт не представляет ценности для взлома, но это не так.  Web-сайт постоянно подвергается риску быть взломанным. Большинство взломов происходит не с целью украсть ваши данные или испортить web-сайт, а для того, чтобы использовать сайт для рассылки спама или производить какие-либо незаконные действия. Написано множество скриптов, которые бегают по Интернету в попытке найти сайты с известными проблемами безопасности. Ниже приводится 10 лучших советов, которые помогут сохранить ваш сайт в безопасности:

 

1. Регулярно обновляйте программное обеспечение

Этот совет может показаться банальным, но своевременное обновление программного обеспечения может помочь вам обезопасить ваш сайт. Это относится как к серверному обеспечению, так и к любому обеспечению, которое может быть запущено на вашем сайте, например, CMS. Как только находятся дыры в безопасности — хакеры тут же ими пользуются.

Об обновлении серверного программного обеспечения должна беспокоиться хостинг компания, так что вам, возможно, не стоит беспокоиться об этом.

Если вы используете программное обеспечение сторонних разработчиков, например, CMS, то вы должны убедиться, что версия актуальна на текущий момент. У большинства разработчиков есть RSS лента с описанием всех вопросов безопасности. WordPress и многие другие CMS уведомляют о доступных новых версиях системы.

 

2. SQL-инъекции

SQL инъекции — атака, когда хакер использует поле web формы или параметры URL строки с целью получения и манипулирования данными, хранящимися в базе данных. При использовании обычных SQL запросов можно вставить вредоносный код, который может изменить таблицы, получить информацию или удалить данные.

Рассмотрим пример:

"SELECT * FROM table WHERE column = '" + parameter + "';"

Если хакер изменит URL параметр и напишет ‘ OR ‘1’ = ‘1, тогда запрос будет выглядеть так:

"SELECT * FROM table WHERE column = '' OR '1'='1';"

Т.к. 1 = 1, то это позволит хакеру добавить дополнительный запрос в конец SQL запроса, который так же будет выполнен.

Вы можете легко предотвратить это, если будете всегда использовать параметризованные запросы.

 

3. XSS

Cross Site Scripting — атака, в которой злоумышленник пытается запустить вредоносный код для посетителей сайта. Нужно убедиться, что вы всегда проверяете данные, кодируете, обрезаете или удаляете все сторонние HTML вставки.

Посмотрим пример:

<html>
 <head>
 <meta http-equiv="refresh" content="5;url=<?=$_GET['url']?>"></meta>
 </head>
 </html>

Если мы занесем в GET переменную значение http://localhost/?url=»><script>alert(«XSS»)</script><!—, то мы получим XSS атаку.

 

4. Сообщения об ошибках

Будьте осторожны, когда даете слишком много информации в ваших сообщениях об ошибки. Например, вы пытаетесь залогиниться на вашем сайте. Вы должны использовать общие сообщения типа «Неправильное имя пользователя или пароль». Не надо уточнять, что именно, имя или пароль неверны, так как это позволит злоумышленнику понять, что он разгадал одно поле и может сконцентрироваться на другом.

 

5. Проверки на стороне сервера, проверки в формах.

Проверка данных должны быть, как в браузере, так и на стороне сервера. В браузере можно отловить простые ошибки и выделить поля, в которых допущены ошибки. Например, проверить на пустоту или на ввод только цифр. Однако, эти проверки могут быть легко пропущены и на сервер могут отправиться непроверенные данные. Если сервер не будет проверять входные данные, то это может привести к нежелательным последствиям.

6. Пароли

Каждый знает, что нужно использовать комплексные пароли, в которых содержаться и буквы и цифры. Это критично не только для паролей в администраторскую зону, но и для пользовательских профилей.

Многие пользователи не любят длинные, сложные пароли, однако, просто необходимо, чтобы пароль был не меньше 8 символов, включающие большие и маленькие буквы, цифры. Такой пароль поможет им сохранить их данные в безопасности.

Пароль должен храниться в зашифрованном виде. Можно использовать такие алгоритмы, как SHA. Во время авторизации будут сравниваться только зашифрованные данные паролей. Для дополнительной безопасности можно добавлять «соль» в пароль. Для каждого пароля должна быть своя «соль».

В случае взлома и кражи ваших паролей ничего страшного не произойдет. Хакер не сможет расшифровать пароли. Лучшее, что он может сделать — это использовать словарь паролей для подбора. При использовании «соли» пароли будут подбираться медленней, так как будет искаться хэш для «соли» и пароля, что трудоемко.

К счастью, во многих CMS уже встроены эти функции безопасности, хотя в некоторых, возможно, понадобится дополнительный плагин, который будет добавлять «соль» к паролям.

 

7. Загрузка файлов

Позволять пользователям загружать файлы на сервер очень опасно, даже если они всего лишь меняют аватар. Риск в том, что загруженный файл может содержать скрипт, который может быть выполнен на сервере, если открыть его через браузер.

Если у вас есть форма для загрузки файлов, то вы должны с огромным подозрением относится к загружаемым файлам. Если вы позволяете пользователям загружать изображения, вы не можете полагаясь на расширение файла или MIME тип, чтобы определить, что файл является изображением, как их можно легко подделать. Даже открыв файл и прочитав заголовки, или используя функцию для проверки размера изображения вы не сможете гарантировать полную защиту от подмены. Большинство изображений позволяют хранить раздел комментариев, которые могут содержать PHP код, который может быть выполнен на сервере.

Так что можно сделать, чтобы предотвратить это? В конечном итоге мы хотим, чтобы пользователи не могли запустить файлы, которые они загружают. Не рекомендуется полагаться на расширение файлов. Нередки случаи, когда на сервер поступал файл image.jpg.php.

Можно переименовать загружаемый файл и поставить ему правильное расширение или поставить файлу права CHMOD 0666 (файл не сможет быть выполнен). Можно создать .htaccess файл, который предотвратит обращение к файлам с двойным расширением.

deny from all
 <Files ~ "^\w+\.(gif|jpe?g|png)$">
 order deny,allow
 allow from all
 </Files>

 

8. Безопасность сервера

Если вы сами настраиваете свой сервер, то необходимо знать некоторые вещи.

Убедитесь, что у вас установлен firewall и блокируются все несущественные порты. Если возможно, установите DMZ (демилитаризованная зона), обеспечивающую доступ к порту 80 и 443.

Для загрузки файлов на сервер, используйте только безопасные методы, такие как SFTP или SSH.

Если возможно, то запустите базу данных на другом сервере. Таким образом только ваш web-сервер сможет получить доступ к базе данных. В результате ваши данные будут лучше защищены.

Наконец, не стоит забывать об ограничении физического доступа к серверу.

 

9. SSL

SSL — протокол, который используется для обеспечения безопасности в Интернете. Всякий раз, когда вы передаете информацию между сайтом и web-сервером, используется сертификат безопасности. Но, если средства коммуникации не являются безопасными, злоумышленники могут получить сертификат и получить доступ к данным пользователей.

 

10. Средства безопасности

Если вы думаете, что вы сделали все возможное, чтобы обеспечить безопасность вашего сайта, то самое время, чтобы проверить ее. Самый эффективный способ это сделать — проверить с помощью использования некоторых средств тестирования безопасности.

Есть много коммерческих и бесплатных продуктов, чтобы помочь вам в этом. Скрипты будут пытаться взломать ваш сайт, используя некоторые из предыдущих упомянутых методов, таких как SQL-инъекции.

Несколько бесплатных инструментов, которые стоит посмотреть:

  • Netsparker (Free Community Edition, доступна пробная версия). Хорошо подходит для тестирования SQL-инъекции и XSS.
  • OpenVAS. Хорошо подходит для тестирования известных уязвимостей, в настоящее время более 25 000. Но инструмент сложен в настройке и требует OpenVAS на сервере, который работает только на * Nix.

 

При получении результатов в первую очередь нужно сосредоточиться на важных вопросах.

Если вы хотите пойти дальше, можно вручную подвергнуть под угрозу ваш сайт путем изменения POST / GET значений.

Еще стоит попробовать протестировать формы, изменить значение POST, чтобы попытаться передать код для выполнения XSS или загрузить скрипт на стороне сервера.

Надеемся, что эти советы помогут вам поддерживать ваш сайт и информацию в безопасности. К счастью, большинство CMS имеют много встроенных функций безопасности, но все равно будет хорошо, если вы будете знать и понимать принципы безопасности.

 

Спасибо за внимание!

Подписываемся на рассылку! 😉

Остались вопросы? Задавайте их в комментариях, вместе разберемся! 😉

 

 

Автор статьи: Alex. Категория: Безопасность
Дата публикации: 13.06.2013

Как на самом деле защитить свой сайт от хакеров

Если вы живете в сети ™, вы уязвимы для взлома. Это особенно актуально для владельцев веб-сайтов. Никакой 20-символьный пароль или обновление одного сценария не обеспечат надежную защиту от атаки. НО! Если у вас сложный пароль, обновляйте свою платформу и делайте все остальное из этого списка, этого должно быть достаточно, чтобы помешать вашим потенциальным хакерам.

Небольшая дополнительная работа над интерфейсом избавит вас от головной боли и горя в будущем.Мы сотрудничали с HostGator, чтобы составить список того, что вам нужно сделать для защиты вашего сайта.

Шаг № 1. Поддерживайте актуальность платформ и скриптов

Поскольку многие платформы и инструменты-скрипты созданы как программы с открытым исходным кодом, их код легко доступен как разработчикам с благими намерениями, так и злонамеренным хакерам. Хакеры могут изучать ваш код в поисках лазеек в безопасности, которые позволят им взять под контроль ваш веб-сайт, используя любую уязвимость платформы или скрипта.

Если вы используете веб-сайт, построенный на WordPress, как базовая установка WordPress, так и любые сторонние плагины, которые вы установили, потенциально уязвимы для этих типов атак. Убедитесь, что у вас всегда установлены новейшие версии вашей платформы и скриптов, что сводит к минимуму риск того, что вас взломают таким образом, и обычно это занимает очень мало времени.

Пользователи

WordPress могут быстро это проверить, войдя в свою панель управления WordPress. Найдите значок обновления в верхнем левом углу рядом с названием вашего сайта.Щелкните номер, чтобы получить доступ к обновлениям WordPress.


& lt; img src = "http://static.digg.com/images/17ad945ed44e4155a4b640f2582d2135_60a04b73983c47968c67260e4867fd6a_1_post.png" alt = "" / & gt;


Шаг № 2: Установите плагины безопасности

После того, как вы все обновили, еще больше повысьте безопасность своего сайта с помощью плагинов, которые активно предотвращают попытки взлома.

Используя WordPress в качестве примера, вы захотите изучить бесплатные плагины, такие как iThemes Security и Bulletproof Security (или аналогичные инструменты, доступные для веб-сайтов, построенных на других системах управления контентом.Эти продукты устраняют недостатки, присущие каждой платформе, предотвращая дополнительные типы попыток взлома, которые могут угрожать вашему сайту.

В качестве альтернативы - независимо от того, используете ли вы сайт под управлением CMS или HTML-страницы - обратите внимание на SiteLock. SiteLock выходит за рамки простого закрытия лазеек в безопасности сайта, обеспечивая ежедневный мониторинг всего: от обнаружения вредоносных программ до выявления уязвимостей, активного сканирования на вирусы и многого другого. Если ваш бизнес полагается на свой веб-сайт, SiteLock определенно стоит рассмотреть.

Примечание. В план управляемого хостинга WordPress HostGator встроен SiteLock, а также другие функции, помогающие защитить ваш сайт.


& lt; img src = "http://static.digg.com/images/b3f4b38098734e0f80950521df3c277e_60a04b73983c47968c67260e4867fd6a_1_post.png" alt = "" / & gt;


Шаг № 3: Используйте HTTPS

Как потребитель вы, возможно, уже знаете, что всегда нужно искать зеленый https на панели браузера каждый раз, когда вы предоставляете конфиденциальную информацию веб-сайту.Большинство потребителей знают, что нужно распознать эти пять маленьких букв как важное сокращение безопасности: они сигнализируют о том, что предоставлять финансовую информацию на этой конкретной веб-странице безопасно.


& lt; img src = "http://static.digg.com/images/6c07de4950da4221b215b82c9dd442d7_60a04b73983c47968c67260e4867fd6a_1_post.png" alt = "" / & gt;


.

Как защитить свой сайт от хакеров - Блог по безопасности

Одно из самых распространенных ложных убеждений, распространяемых в сообществе владельцев Интернета и специалистов по безопасности веб-сайтов, заключается в том, что «ваш сайт не большой, поэтому нет ничего стоящего для взлома». Это убеждение всегда приводило к тревоге, потому что, к удивлению владельца сайта, его взломали и он может потерять все. Фактически, это распространенное мнение может фактически распространяться хакерами, поскольку оно создает слабость у владельцев сети, ослабляя их охрану и делая их защиту уязвимой.На самом деле веб-сайты постоянно взламывают, их размер и функциональность не имеют значения.

Большинство нарушений безопасности не обязательно являются попытками украсть ваши данные или испортить ваш веб-сайт, но представляют собой коварные попытки превратить ваш сервер в ретранслятор электронной почты для спама или на временный веб-сервер, обычно для обслуживания незаконных файлов. В этой статье мы постараемся дать вам несколько советов о том, как защитить ваш сайт от хакеров. Как бы ужасно это ни казалось, держать этих людей в страхе очень возможно, и все требования для этого чрезвычайно важны.Есть несколько основных действий, которые вы можете предпринять, чтобы скрыть свой сайт от этих вандалов, и сделать так, чтобы хакерам пришлось приложить немало усилий, чтобы найти ваш сайт.

Обновите все, что у вас есть

Независимо от того, создали ли вы сайт «сделай сам» на сторонней платформе под ключ или решили создать его с нуля вместе со своей командой разработчиков, как владелец сайта вы должны убедиться, что все запущенное вами программное обеспечение обновлено. Поставщики CMS, такие как Joomla, Ilk и WordPress, постоянно находятся на страже, постоянно выискивая дыры для подключения своих систем и выходя в Интернет с регулярными исправлениями и обновлениями, чтобы гарантировать, что их программное обеспечение невосприимчиво к атакам.Убедитесь, что вы запускаете эти обновления и всегда используете самую последнюю версию, поддерживающую ваш сайт.

Если на вашем сайте используются подключаемые модули сторонних производителей, вы должны получать информацию об их обновлениях и своевременно внедрять их. Многие сайты часто делают ошибку, добавляя плагины, которые со временем перестают использоваться. Убедитесь, что вы регулярно выполняете очистку, удаляйте все неиспользуемые, старые и не обновленные плагины, они представляют собой угрозу для хакеров, которые могут использовать и разрушить ваш сайт.

Усильте безопасность вашего сайта

Так же, как вы устанавливаете антивирус на свой рабочий стол перед просмотром веб-страниц и надежно запираете двери перед выходом из дома, вам также следует установить систему безопасности, которая будет первой линией защиты вашего сайта от злонамеренных атак хакеров. Первой линией защиты всегда является брандмауэр веб-приложений. Они предназначены для проверки входящего трафика, выявления и отсеивания вредоносных запросов, защиты вашего веб-сайта от спама, межсайтовых сценариев, атак методом грубой силы и других угроз высокого уровня.Вы можете взглянуть на антивирус для веб-сайтов, который мы предлагаем.

Несколько лет назад брандмауэры веб-приложений были исключительно аппаратными устройствами, но совсем недавно несколько провайдеров Security-as-a-Service (SecAaS) начали использовать технологию облачного хостинга, чтобы снизить цены на решения безопасности. В результате все владельцы веб-сайтов теперь могут арендовать облачный брандмауэр веб-приложений без дорогостоящих устройств безопасности или даже без выделенного сервера хостинга. А еще лучше, вам не понадобится курс по безопасности веб-сайтов или нанимать экспертов по безопасности для использования этих услуг.

Из-за того, что ежегодно взламывается огромное количество веб-сайтов, становится очевидным, что хостинг-провайдеры не могут эффективно справиться со всеми угрозами безопасности веб-сайтов, и рост числа облачных межсетевых экранов веб-приложений быстро заполняет их пустоты.

HTTPS

Hyper Text Transfer Protocol Secure (HTTPS) - это безопасный протокол связи, который передает конфиденциальную информацию между веб-сайтом и веб-сервером. Переход вашего веб-сайта на этот протокол определенно означает добавление шифрования Transport Layer Security (TLS) или Secure Sockets Layer (SSL) к вашему HTTP, обеспечивая дополнительную защиту от хакеров для ваших данных и данных ваших пользователей.

Хотя HTTPS необходим для всех онлайн-транзакций, соотношение сайтов, работающих по HTTP, превышает их 100: 1. В настоящее время добавление уровня безопасного протокола не только гарантирует безопасность, но и помогает ранжироваться в поиске, поскольку компания GOOGLE недавно объявила, что HTTPS будет рассматриваться как фактор ранжирования.

Используйте надежные пароли и регулярно меняйте их

Атаки методом грубой силы работают в основном путем угадывания комбинаций имени пользователя и пароля. Сообщается, что за последние два года их количество тревожно растет, поскольку каждый день в сети обнаруживаются тысячи атак.Подбор пароля и атаки по словарю могут быть эффективно устранены с помощью надежных паролей. Надежные пароли важны не только для электронной почты и финансовых транзакций; они даже вдвойне важны для паролей сервера, администратора и базы данных вашего сайта.

Что такое надежный пароль? Надежный пароль должен состоять из комбинации буквенно-цифровых символов, прописных и строчных букв и символов и иметь длину не менее 12 символов. Подобная комбинация может предотвратить атаки методом перебора.

Пароли также не должны быть одинаковыми для всех входов на сайт. Регулярно меняйте пароли, чтобы обеспечить надежную защиту и хранить данные пользователей в зашифрованном виде. Таким образом, если ваша безопасность будет взломана, злоумышленники не смогут украсть информацию ваших пользователей.

Скрыть каталоги администратора

Один из самых простых способов доступа хакеров к данным вашего сайта - это перейти прямо в каталоги администратора.

Сценарии, используемые хакерами, сканируют каталоги на вашем веб-сервере в поисках таких имен, как «admin», «login» или «access» и т. Д.затем сосредоточьте всю свою энергию на доступе к этим файлам, чтобы поставить под угрозу безопасность вашего сайта. Самые популярные CMS дают вам полный контроль над названиями ваших каталогов; отличной идеей было бы переименовать ваши административные папки. Выберите имена, которые сделают эти папки незаметными, и сообщайте их только своим веб-мастерам. Этот метод может значительно снизить риск потенциального нарушения.

Один факт, который знает и понимает каждый владелец бизнеса, заключается в том, что «ваша репутация - это все», поэтому затраты не могут быть слишком высокими, если они защищают ваш сайт и вашу репутацию.

.

Как защитить свой сайт WordPress от хакеров - ProteusThemes

Знаете ли вы, что каждый день взламывают более 30 000 веб-сайтов в Интернете?

И, когда дело доходит до взлома, веб-сайты WordPress обычно являются одним из наиболее популярных типов веб-сайтов, на которые нацелены хакеры. В основном это связано с тем, что более 70% установок WordPress имеют уязвимости, которыми хакеры могут легко манипулировать в своих интересах.

Эта статистика может показаться немного пугающей, но не стоит паниковать.

Мы не пытаемся отпугнуть вас от использования WordPress для создания вашего сайта. Фактически, любой тип веб-сайта в сети уязвим для хакерских атак, если вы не примете необходимые меры предосторожности для защиты своего сайта.

В этой статье мы дадим вам несколько лучших советов по безопасности WordPress, которым вы можете следовать, не обладая никакими экспертными знаниями, чтобы держать хакеров подальше от вашего сайта.

Самые распространенные способы атак хакеров на WordPress

Прежде чем предпринимать какие-либо шаги по защите своего сайта WordPress от хакеров, вам необходимо узнать о некоторых вещах, которые могут сделать ваш сайт уязвимым для атак.

С тех пор, как WordPress стал самой популярной CMS в Интернете, хакеры тратили больше времени на поиск новых способов атаковать уязвимые сайты и использовать их для своих злонамеренных действий.

Вот три наиболее распространенных метода, которые они используют для запуска атак:

Слабые пароли: Первое, что собираются сделать хакеры, - это попытаться угадать ваш пароль для страницы входа в WordPress. Хотите верьте, хотите нет, но «123456» по-прежнему остается самым популярным паролем, который используют миллионы людей около

.Взломано

WordPress - как защитить свой сайт в 2020 году [Руководство]

Обновлено

Защитите WordPress от взлома [Полное руководство]

Был ли ваш WordPress взломан в прошлом? Если да, то, возможно, вы уже знаете о важности безопасности wordpress, но если нет, то эту статью вы просто обязаны прочитать.

Взлом WordPress находится на подъеме, и это стало темой серьезной озабоченности. Защитить WordPress от злоумышленников и вредоносных программ несложно, мы просто должны принять во внимание ряд вещей: различные меры предосторожности, постоянные обновления и различные средства защиты, чтобы защитил ваш WordPress от взлома в 2020 году.

Обычно, чем популярнее веб-сайт, тем больше атак он подвергается разного рода атакам, поэтому мы должны быть готовы избегать проблем в таких случаях.

Наличие защищенного веб-сайта так же важно для присутствия человека в Интернете, как и его хостинг. Например, если веб-сайт взломан и занесен в черный список, он теряет до 98% своего трафика. Отсутствие безопасного веб-сайта может быть так же плохо, как отсутствие веб-сайта или того хуже. Например, нарушение данных о клиентах может привести к судебным искам, крупным штрафам и испорченной репутации.

Как владелец веб-сайта, нет ничего страшнее, чем видеть, как вся ваша работа изменена или полностью уничтожена печально известным хакером?

Мы слышали об утечках данных и взломах в 2019 году. Давайте усложним жизнь хакерам в 2020 году. В этой статье мы поговорим о различных мерах безопасности, которые мы можем предпринять, чтобы защитить сайт WordPress от взлома в 2020 году.

Сколько сайтов взламывают в день?

В США около 380 миллионов веб-сайтов .S. Ежедневно вредоносными программами заражаются около 30 000 веб-сайтов и веб-сайтов.

В 2017 году 39,3% из взломали сайтов WordPress, и зарегистрировали устаревшие установки. В 2018 это немного снизилось. Но в 2019 году цифры снова выросли. В 2020 году он должен многократно увеличиться из-за появления новых технологий и уязвимостей. Недавно в 2019 году был отмечен всплеск атак программ-вымогателей WordPress.

Теперь вы можете подумать, зачем кому-то приходить за моим сайтом малого бизнеса? Но взломы случаются не только с крупными брендами.Согласно одному отчету, малые предприятия стали жертвами 43% всех утечек данных. Вы можете узнать больше об этом в нашем сообщении о безопасности веб-сайтов для малого бизнеса.

Мы говорили об этом недавно : если у вас есть веб-сайт, невыполнение определенных действий может подвергнуть вас риску взлома. Может пострадать нормальное функционирование вашего сайта, а также ваша репутация. Это особенно актуально для сайтов электронной коммерции (📒WordPress Woocommerce Hack), специализирующихся на продажах, где банковские операции являются обычным делом.

В наши дни угроза хакеров растет. Попытки взлома становятся все более автоматизированными и, следовательно, в 2020 году будут расти.

Чаще всего взлома не видно. Это происходит тихо. Ваш сайт становится пристанищем для хакеров, эксплуатирует его ресурсы и использует их для совершения своих преступлений, включая заражение других веб-сайтов.

Последствия взлома WordPress

По-человечески говоря, ваши посетители в конечном итоге будут жаловаться на сбои на вашем сайте или слишком медленную скорость и отвернутся от вашей компании.Что касается SEO, Google занесет вас в черный список и покажет предупреждающие сообщения для вашего веб-сайта, такие как сообщение «Этот сайт может быть взломан» в Google. Следуйте нашему подробному руководству, чтобы удалить предупреждающие сообщения из черного списка Google.

Почему взламывают сайты WordPress - основные причины

Есть несколько способов предотвратить этот сценарий бедствия.

Уязвимости WordPress, которые приводят к взлому

Вот наиболее распространенные уязвимости и угрозы безопасности WordPress:

SQL-инъекции
Атаки

SQL-инъекций осуществляются путем внедрения вредоносного кода в уязвимый SQL-запрос. Они полагаются на то, что злоумышленник добавит специально созданный запрос в сообщение, отправленное веб-сайтом в базу данных.

Успешная атака изменит запрос к базе данных таким образом, чтобы он возвращал информацию, желаемую злоумышленником, вместо информации, ожидаемой веб-сайтом. SQL-инъекции могут даже изменять или добавлять вредоносную информацию в базу данных. Здесь обсуждается пример внедрения вредоносного кода.

Межсайтовый скриптинг (XSS)

Межсайтовые сценарии или сценарии XSS - это тип уязвимости веб-сайтов, позволяющий злоумышленникам размещать вредоносные сценарии на надежных веб-сайтах и ​​приложениях, которые, в свою очередь, устанавливают вредоносное ПО в веб-браузеры пользователей.Используя межсайтовые скрипты, хакеры не атакуют пользователей напрямую и не направляют их по ошибке на другие сайты, а свободно распространяют свои вредоносные программы среди тысяч людей.

XSS позволяет злоумышленникам, которые намереваются атаковать сайт, внедрять клиентские скрипты в веб-страницы, просматриваемые другими пользователями. Уязвимость межсайтового сценария может быть использована злоумышленниками для обхода контроля доступа в качестве политики того же происхождения.

📒 Также прочтите - WordPress XSS Attack - Exploit & Protection

Credential Brute Force Атаки

Brute Force Attack - это метод взлома, использующий методы проб и ошибок для входа на веб-сайт, в сеть или компьютерную систему.Хакеры используют автоматизированное программное обеспечение для отправки большого количества запросов в систему назначения. При каждом запросе это программное обеспечение пытается угадать информацию, необходимую для получения доступа, например пароли или PIN-коды. Эти инструменты также могут быть замаскированы с использованием разных IP-адресов и местоположений, что затрудняет выявление и блокировку этих подозрительных действий целевой системой.

Успешная атака методом грубой силы может дать хакерам доступ к вашему сайту админки. Они могут установить бэкдор, вредоносное ПО, украсть информацию о пользователях и удалить все на вашем сайте.Даже неудачные атаки методом грубой силы могут нанести серьезный ущерб, посылая слишком много запросов, которые замедляют ваши серверы хостинга WordPress и даже блокируют их.

📒 Также читайте - WordPress Brute Force Attack

Атаки вредоносного ПО на WordPress

Используя некоторые из предыдущих проблем безопасности как средство получения несанкционированного доступа к веб-сайту, злоумышленники могут:

  1. Внедрить SEO-спам на страницу - 📒 Прочтите : Как исправить взлом с японскими ключевыми словами на вашем сайте WordPress?
  2. Запустите эксплойты на сервере, чтобы повысить уровень доступа.
  3. Использование компьютеров посетителей для майнинга криптовалют - вымогатель WordPress
  4. Запуск атак на другие сайты
  5. Скрипты управления и контроля ботнетов магазина
  6. Показывать нежелательную рекламу, перенаправлять посетителей на мошеннические сайты – Перенаправление вредоносного ПО WordPress
  7. Размещение вредоносных загрузок
  8. Бросьте бэкдор, чтобы сохранить доступ - 📒 Бэкдор WordPress
  9. Сбор информации о посетителях или данных кредитной карты (например, 📒 Branco de oro hack)
DDoS-атаки

Распределенная атака типа «отказ в обслуживании» (DDoS) на сайты wordpress, также называемая атакой WordPress DDoS, - это атака на компьютер или сетевую систему, в результате которой сервис или ресурс становятся недоступными для законных пользователей.Обычно это приводит к потере сетевого подключения из-за потребления передаваемой информации (пропускной способности) сети жертвы.

Он генерируется путем насыщения портов информационным потоком, что приводит к перегрузке сервера (ов) и невозможности продолжения предоставления услуг, поэтому это называется «отказом», поскольку из-за этого сервер не предоставляет количество запросов. Этот метод используется так называемыми хакерами для выхода из строя целевых серверов.

Но прежде чем мы продолжим, возникает важный вопрос:

Как проверить, безопасен ли ваш сайт WordPress?

На безопасном веб-сайте должны быть активированы все брандмауэры веб-приложений, чтобы предотвратить любые взломы WordPress.Он также должен следовать рекомендациям по обеспечению безопасности WordPress для известных или наиболее распространенных уязвимостей Wordpress. Вы можете использовать наш сканер безопасности WordPress ниже, чтобы узнать, есть ли на веб-сайте брандмауэр, какие-либо аномалии безопасности, вредоносное ПО или находится ли он в черном списке.

Как защитить свой сайт WordPress от хакеров в 2020 году?

Советы по защите вашего сайта WordPress и защите от хакеров.

Многие другие действия могут усилить вашу веб-защиту.Но сами по себе эти элементы уже игнорируются многими администраторами сайтов. Относительно простые в реализации, вы можете попробовать эти методы, которые принесут только пользу вам и вашим пользователям.

Держите WordPress в актуальном состоянии

Это может показаться довольно очевидным, но это один из самых простых и важных шагов. При выпуске новой версии WordPress важно как можно скорее вносить обновления, особенно скрипты или плагины. Многие из них имеют открытый исходный код, что означает, что каждый может проанализировать исходный код и обнаружить недостатки.Эти дыры в безопасности - один из наиболее распространенных способов доступа хакеров к вашему сайту.

Чтобы защитить ваш сайт от этих атак, настоятельно рекомендуется обновить ваш плагин, скрипты и версии WordPress.

Избегайте бесплатных тем WP

На многих CMS существует множество тем, платных или бесплатных. Они позволяют добавлять на сайт функции, автоматизировать действия, упростить администрирование и сделать все это более привлекательным для пользователей Интернета.

Поэтому заманчиво их использовать, особенно когда они бесплатны.

Но вы должны знать, что бесплатные темы не лишены риска. Если они полностью доработаны и одобрены сообществом в определенный момент (часто тестируются и комментируются новинки, чтобы при необходимости они могли улучшаться), это не гарантирует, что они по-прежнему будут актуальными.

Поскольку эти темы бесплатны, разработчик не обязательно будет их поддерживать в долгосрочной перспективе. Значит, они не обновляются.Что относится к предыдущему пункту: отсутствие обновлений включает в себя сохранившиеся недостатки и, в конечном итоге, возможную несовместимость между бесплатными темами и остальной частью сайта, который был обновлен.

Установить плагины безопасности

WordPress (WP) - самая используемая платформа для веб-сайтов. Помимо обновления всего программного обеспечения, для сайта WordPress крайне важно использовать плагины безопасности и гарантировать максимальную безопасность. Существует множество бесплатных и платных плагинов безопасности для WordPress, которые обеспечивают безопасность вашего сайта.

Эти плагины предлагают дополнительные функции для защиты вашего сайта WordPress и снижения риска взлома.

Эти параметры устраняют уязвимости системы безопасности, присущие каждой платформе, предотвращая дополнительные типы попыток взлома, которые могут угрожать вашему веб-сайту.

Использовать HTTPS

Помимо использования подключаемых модулей безопасности, вам также следует рассмотреть возможность перехода на HTTPS «протокол безопасной передачи гипертекста», чтобы еще больше повысить безопасность вашего сайта.Веб-сайты, использующие стандартный протокол передачи данных между сервером и браузером клиента, HTTP или протокол передачи гипертекста, могут перехватить данные и использовать их злонамеренно. HTTPS делает обмен информацией через ваш веб-сайт более безопасным и недоступным.

Использование HTTPS настоятельно рекомендуется для сайтов электронной коммерции или сайтов, имеющих дело с конфиденциальной и частной информацией о клиентах.

Выберите правильный веб-хостинг

Вы, конечно, можете выбрать жилье по очень дешевым предложениям.Однако вы можете подвергнуться кибератакам. По этой причине разумно найти авторитетных поставщиков веб-хостинга, которые предлагают такие функции, как безопасный SSL-сервер (требуется для HTTPS), SSH Secure Shell Access, безопасная поддержка электронной почты, безопасная база данных, регулярное резервное копирование и т. Д. Если у вас есть любые сомнения в безопасности хостинга данных, попробуйте получить рекомендацию от поставщика. Компания Host and Protect провела небольшое исследование и сравнила различных провайдеров веб-хостинга, а затем выбрала лучших в своем руководстве по хостингу WordPress.

Использовать параметризованные запросы

SQL-инъекции не только скрытны, но также могут быть очень опасными, если хакеру удастся внедрить на ваш сайт. Обычно эти инъекции происходят через веб-формы, которые вы используете для сбора информации от посетителей вашего сайта.

Если вы не укажете необходимые ограничения для всех полей веб-формы, хакеры смогут вставить код, который, в свою очередь, позволит им взломать вашу базу данных и украсть любую доступную конфиденциальную информацию.

Чтобы защитить свой сайт от этих инъекций, все, что вам нужно сделать, это постоянно использовать параметризованные запросы. Ваш веб-сайт будет иметь определенные параметры, чтобы хакеры не могли получить доступ к вашим данным и ввести свой вредоносный код.

Использование CSP - Мощные XSS-атаки

Эти атаки похожи на SQL-инъекции, потому что хакеры используют поля веб-формы HTML-кодов для доступа к ним. Однако они намного опаснее, чем SQL-инъекции. Атаки с использованием межсайтовых сценариев (XSS) относятся к вставке тегов вредоносных сценариев и JavaScript на ваш веб-сайт, которые могут распространяться на учетные записи всех посетителей, отображающих страницу, на которой они были обслужены.вставлен.

Чтобы предотвратить атаки XSS, убедитесь, что посетители не имеют прав (или возможности) для вставки тегов JavaScript или сценариев в любом месте вашего сайта.

Политика безопасности контента (CSP) - это механизм веб-приложения, который реализуется выше HTTP-запроса и напрямую ограничивает интерпретацию сценария и вложенной структуры (iframe). в клиентском браузере. Глубокая защита, которая состоит из простой декларативной политики сервера через заголовок HTTP, чтобы указать браузеру источники, из которых приложение планирует загружать ресурсы.

Но имейте в виду, что CSP очень эффективен, поскольку повышая вашу безопасность, он полностью зависит от браузера. Поскольку совместима только «Edge» версия браузеров Internet Explorer, вопрос даже не возникает.

Убедитесь, что ваши пароли надежны

Лучше использовать пароли всегда более сложные, смешивая строчные буквы, прописные буквы, цифры и специальные символы для всех ваших учетных записей и особенно для учетной записи администратора вашего сайта. Никогда не используйте простые пароли.Не используйте пароли, такие как имя или день рождения вашего ребенка, так как хакеры могут легко получить доступ к этой информации.

Кроме того, убедитесь, что каждый, кто имеет доступ к вашему сайту, использует надежный пароль, который невозможно угадать. использование ненадежного пароля пользователем может поставить под угрозу весь ваш веб-сайт и все учетные записи посетителей.

Заблокируйте права доступа к каталогу и файлам

Просмотр каталогов WordPress позволяет любому посетителю вашего сайта видеть и просматривать содержимое папок на вашем сайте WordPress.Каждый может посетить каталог вашего сайта, просмотреть файлы и открыть их по желанию. По умолчанию большинство хостов решили заблокировать доступ к каталогам по очевидным причинам безопасности, однако все еще есть много хостов, которые не отключают доступ к каталогам размещенных сайтов.

Для ясности: если просмотр каталогов включен и у вас нет пустого файла index.html или index.php в данном каталоге, посетитель сможет просматривать содержимое каталога в своем браузере, получая такой же доступ. в родительский каталог и возможность отслеживать все существующие каталоги, показывая работу вашего сайта WordPress.

Этот экран может побудить хакеров попытаться уничтожить ваш сайт или, по крайней мере, облегчить их работу по взлому. Хакеры могут легко искать в Google сайты, для которых разрешен доступ к каталогам, а затем выбирать своих следующих жертв на основе результатов. Помимо всех скриптов и данных, необходимых для правильного функционирования вашего веб-сайта, каждому из этих файлов и папок назначается набор разрешений для управления тем, кто может читать, писать и выполнять файл или папку, в зависимости от пользователя, входящего в группу. к которому они принадлежат.

В операционной системе Linux разрешения отображаются в виде трехзначного кода, где каждая цифра представляет собой целое число от 0 до 7. Первая цифра представляет разрешения для владельца файла, вторая - для всех, кто назначен группе владельцев и третий для всех. Назначения работают следующим образом:

  • 4 равно Читать
  • 2 равно Запись
  • 1 равно Выполнить
  • 0 означает отсутствие разрешений для этого пользователя

В качестве примера используйте код разрешения «644.В этом случае «6» (или «4 + 2») в первой позиции дает владельцу файла возможность читать и записывать файл.

«4» во второй и третьей позициях означает, что групповые пользователи и пользователи Интернета в целом могут только читать файл, что защищает его от неожиданных манипуляций.

Итак, файл с разрешениями «777» (или 4 + 2 + 1/4 + 2 + 1/4 + 2 + 1) доступен для чтения, записи и выполнения пользователем, группой и всеми остальными в мир.

Как и ожидалось, файл, которому был назначен код разрешения, который дает любому пользователю в Интернете возможность писать и выполнять его, гораздо менее безопасен, чем заблокированный файл, поскольку все права сохраняются за владельцем.Конечно, есть веские причины для открытия доступа другим группам пользователей (например, анонимная загрузка по FTP), но эти случаи необходимо тщательно продумывать, чтобы не создавать угрозы безопасности для веб-сайта.

По этой причине золотым правилом является установка следующих разрешений для файлов и папок Wordpress:

  • Папки и каталоги = 755
  • Отдельные файлы = 644

Чтобы установить права доступа к файлам, войдите в файловый менеджер cPanel или подключитесь к серверу через FTP.Оказавшись там, вы увидите все существующие разрешения для файлов (как в следующем примере, созданном с помощью программы Filezilla FTP):

Последний столбец в этом примере отображает права доступа к файлам и папкам в wordpress, которые в настоящее время назначены содержимому веб-сайта.

Чтобы изменить эти разрешения в Filezilla, просто щелкните правой кнопкой мыши папку или файл, о котором идет речь, и

выберите опцию «Права доступа к файлу». Откроется экран, позволяющий назначать различные разрешения с помощью ряда флажков:

Хотя серверная часть каждого веб-хоста или FTP-программы может показывать немного разные параметры, основной процесс изменения разрешений остается прежним.В нашей следующей статье мы подробнее поговорим о том, как изменить права доступа к файлу Wordpress.

Делайте сообщения об ошибках простыми и полезными

Подробные сообщения об ошибках могут быть полезны для внутренних целей, чтобы помочь вам определить, что не так, и узнать, как это исправить. Но когда эти сообщения об ошибках отображаются для внешних посетителей, неправильная обработка ошибок может раскрыть конфиденциальную информацию потенциальному хакеру об уязвимостях вашего веб-сайта.

Будьте осторожны с информацией, которую вы предоставляете в сообщении об ошибке, чтобы убедиться, что вы не предоставляете информацию, которая может помочь хакеру.Сообщения об ошибках должны быть простыми и никогда не раскрывать слишком много информации. Но также избегайте двусмысленностей, чтобы ваши посетители всегда могли узнать достаточно информации из сообщения об ошибке, чтобы знать, что делать дальше.

Подробнее о некоторых из наиболее распространенных ошибок / сообщений WordPress:

Инвестируйте в автоматическое резервное копирование

Даже если вы сделаете все остальное из этого списка, у вас все еще есть шансы столкнуться с некоторыми хакерами. Худший сценарий взлома веб-сайта - это потеря всего, всех данных, потому что вы забыли сделать резервную копию своего сайта.Лучший способ защитить себя от такой потери данных - всегда иметь последнюю резервную копию.

📒 Также прочтите - Как сделать резервную копию базы данных WordPress вручную? | Экспорт базы данных WordPress PhpMyadmin

Использовать протокол SSL

Мы говорили об этом недавно: протокол SSL - это инструмент, который шифрует ваши данные. Это можно сравнить с замком на двери: когда ваши данные передаются с вашего сервера одному из ваших пользователей, процесс защищен сертификатом SSL, и никто не может вмешаться.

Кроме того, браузеры Chrome и Firefox начинают прояснять, какие сайты используют SSL, а какие нет. Это может побудить пользователей предпочесть защищенный сайт его конкуренту без протокола SSL.

И последнее, но не менее важное: сертификат SSL поможет вашему SEO, повысит вашу безопасность и доверие ваших пользователей.

В случае утечки данных не нужно паниковать, если у вас есть текущая резервная копия. Вы можете сделать привычкой ежедневное или еженедельное резервное копирование сайта вручную.Но если есть хоть малейшая вероятность того, что вы забудете, инвестируйте в автоматическое резервное копирование. Это дешевый способ обрести душевное спокойствие, и выздоровление намного проще.

Скрыть и защитить свои административные страницы

Страницы администрирования - главная цель хакеров; они позволяют им получать доступ к вашим данным и данным ваших клиентов. И эти страницы особенно легко найти с похожими именами по умолчанию, включая WordPress, Drupal, Prestashop и другие эквиваленты CMS. Изменение имени каталога администрирования усложнит задачу хакерам и может отпугнуть их.По той же идее используйте личный, сложный пароль, который нужно искать.

📒 Также прочтите Как удалить невидимого / скрытого пользователя-администратора в WordPress?

Повышение безопасности .Htaccess

Если ваш веб-сайт действительно взломали, большинство злоумышленников модифицируют файл .htaccess, чтобы перенаправить трафик с вашего сайта или включить страницы с их собственными файлами. Файл .htaccess - это скрытый текстовый файл, используемый веб-сервером Apache для настройки вашего веб-сайта без необходимости создавать или изменять глобальные параметры.Используйте файлы .htaccess, чтобы ограничить доступ к определенным файлам или каталогам, которые могут содержать конфиденциальную информацию. Узнайте, как эффективно использовать файл .htaccess для повышения безопасности и производительности вашего сайта. Сделайте свой сайт WordPress безопасным с помощью нескольких настроек htaccess.

Для повышения безопасности измените файл .htaccess на:

📒 Подробное руководство - WordPress .htaccess взломан - Очистка и предотвращение атак .htaccess

Остерегайтесь загрузки вредоносных файлов

Когда у кого-то есть возможность загрузить что-то на ваш веб-сайт, он может злоупотребить этой привилегией, загрузив вредоносный файл, перезаписав один из существующих файлов, важных для вашего веб-сайта, или загрузив файл такого размера, что приведет к остановке всего вашего веб-сайта.

Если возможно, просто не принимайте загрузки файлов через ваш сайт. Многие веб-сайты малого бизнеса могут обойтись без возможности загрузки файлов. Если это относится к вам, вы можете пропустить все остальное на этом шаге.

Но отказ от загрузки файлов возможен не для всех веб-сайтов. Некоторые виды бизнеса, например бухгалтеры или поставщики медицинских услуг, должны предоставлять клиентам возможность безопасно предоставлять документы.

Когда у кого-то есть возможность загрузить любой тип файла в ваш WordPress, он может злоупотребить привилегией, загрузив вредоносный файл, перезаписав один из важных файлов, существующих на веб-сайте, или загрузив такой большой файл, что он разрушит весь их веб-сайт. .

Если возможно, просто не принимайте загрузку файлов от кого-либо через ваш веб-сайт. Многие веб-сайты малого бизнеса могут выжить, вообще не предлагая возможности загрузки файлов. Если это относится к вам, вы можете пропустить все остальное на этом шаге.

Если вам нужно разрешить загрузку файлов на свой веб-сайт, выполните следующие действия, чтобы убедиться в безопасности WordPress:

  • Автоматически переименовывать файлы при загрузке.
  • Создайте белый список разрешенных расширений файлов.
  • Использовать проверку типа файла.
  • Реализовать двухфакторную аутентификацию WordPress (2FA)
  • Не помещайте папку загрузки в корневой каталог.
  • Установите максимальный размер файла. Избегайте распределенных атак типа «отказ в обслуживании» (DDoS), отклоняя любые файлы более определенного размера.
  • Проверить все загруженные файлы на наличие вредоносных программ.

Получите помощь Защита вашего сайта WP

Не откладывайте выполнение вышеупомянутых шагов. Обеспечение безопасности вашего сайта wordpress с помощью советов по безопасности WordPress и изучение способов защиты от хакеров и удаления вредоносных программ из wordpress играет важную роль в поддержании здоровья и безопасности вашего сайта в 2020 году и в последующий период!

Также прочитайте наши подробные руководства и контрольные списки:

Ищете нового хостинг-провайдера? Свяжитесь с нами для отличных праздничных предложений.

Не беспокойтесь о том, что вас запутают. Wp hacked help предлагает круглосуточную поддержку мирового класса! Мы поможем вам обезопасить себя!

Нравится:

Нравится Загрузка ...

Связанные

.

Смотрите также

Поделиться в соц. сетях

Опубликовать в Facebook
Опубликовать в Одноклассники
Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий