Segurança do site WordPress explicada

Learn WordPress Security

WordPress é a plataforma de publicação mais popular no mundo. Corre-se cerca de 24% de todos os sites em todo o mundo. WordPress também é open source. Isto significa que o código que é executado WordPress, é visível a todos. Porque custa tantos sites, tornou-se um alvo para hackers infectam sites ou deseja controlar.

Pense nisso desta maneira: se você é um hacker e quer infectar o maior número de web sites, você pode tentar encontrar uma falha de segurança no software individual que funciona em qualquer site da web, ou você pode usar uma falha de segurança no a maioria dos sites encontrar o software popular usado e infectá-las. Se um hacker, uma falha de segurança em WordPress si mesmo ou um tema favorito ou um plugin WordPress usado para encontrar, o que lhes permite infectar rapidamente um grande número de sites com ataques automatizados.

Por esta razão, a busca de um “zero-day” falha de segurança no WordPress é exigido por hackers, pois pode levar à capacidade de controlar um grande número de sites. A vulnerabilidade dia zero é uma vulnerabilidade que o fabricante do software “zero dias” para resolver, porque eles estão cientes do problema ainda não é conhecida. E ‘o melhor tipo de falha de segurança por hackers, porque todo mundo que está executando a versão mais recente de uma determinada peça de software, assegura que a brecha de segurança sem correção está disponível.

do site atacante

Em geral, há três entidades que atacam sites WordPress:
(1) Pessoas: Esta é uma pessoa sentada em um teclado e sondando o ataque em um site manualmente.
(2) Uma única Bot: Este é um único programa automatizado ou um script que usa um hacker para atacar vários sites automaticamente.
(3) A Botnet: Este é um grupo de máquinas que executam programas que são coordenados por um “servidor de comando e controle” central (servidor C & C), que engata automaticamente muitos sites.

avançado humano

Com um indivíduo humano para atacar manualmente em seu site é raro. Nós todos gostamos de pensar que somos especiais e que o nosso site é interessante o suficiente para alguém que nos dá o tipo de atenção individual que merecemos. A verdade é que uma pequena porcentagem de sites direcionados individualmente e um número ainda menor tem uma pessoa viva que está tentando quebrar.

No entanto, se você for alvejado por uma pessoa, o nível de sofisticação do ataque é muito superior se você está sendo alvo de um robô. Um atacante humano é capaz de controlar a velocidade com que você coletar informações sobre seu site que qualquer detecção de intrusão desencadeia a evitar. Você pode então tentar um par de ataques enquanto estiver cuidado para não notificar e os sistemas que protegem seu site. Você vê os resultados de cada teste e pode tomar decisões sobre como proceder com base nesses resultados.

A maioria dos ataques, que incluem um alvo humano vivo, são locais muito importantes, incluindo a empresa de defesa, sites que contêm dados privados sensíveis e aqueles que são financeiramente muito rentável para o ataque.

bots e redes de bots

Bots são programas que são escritos por hackers atacaram um grande número de páginas da web que tentam vulnerabilidades em software conhecido como WordPress. É relativamente fácil de escrever um programa que visitou centenas de milhares de páginas da Web que controlam rapidamente se eles estão executando uma versão do WordPress com uma falha de segurança conhecida e se eles são encontrados para hackear o site usando este buraco de segurança (explorar)

Bots podem ser um único programa que é executado em uma única máquina ou afetar um grande número de máquinas que executam várias versões do programa, o tempo todo tentando em paralelo em um grande número de páginas – também chamado de “botnets”.

A grande maioria dos ataques a sites do WordPress são executados por robôs. A boa notícia é que esses ataques não são tão sofisticados como os seres humanos, e os ataques também são mais agressivos. Isso os torna mais fáceis de detectar. A má notícia é que, se uma vulnerabilidade zero-day no WordPress ou um tema familiar ou plug-in vem em, ele pode ser extremamente rápido através destes tipos de ataques automatizados que são exploradas a um grande número de sites que estão comprometidos.

A maioria dos ataques são realizados por robôs ou máquinas automáticas. Porque bots são tão rápidas e eficazes em atacar um grande número de sites, é muito importante que você fechar falhas de segurança em seu site WordPress mais rápido possível.

Por que eles atacam o meu site WordPress?

O objetivo de um atacante é para ganhar controle sobre seu site WordPress na esfera administrativa. Isso significa que eles podem ler todos os arquivos e dados no banco de dados em seu site. Isso também significa que eles podem editar arquivos, fazer alterações para o banco de dados e mudar a maneira como eles se comportam em seu site e o conteúdo que eles servido. Eles querem fazer isso por algumas razões seguintes:

(1) spam: para enviar e-mails de spam do seu site. Hackers podem script em seu site que Bulk Email seus objetivos uma vez que você assumir o controle de seu site.

(2) Para conteúdos nocivos para hospedar e para evitar filtros: Hackers podem usar o site para hospedar conteúdos como a pornografia, venda de drogas ilegais ou outro conteúdo spam. Hospedagem ruim conteúdo em um domínio que não ajudá-los a evitar spam e outro filtro em linha uma má reputação.

(3) para roubar os dados da página Web: Para tornar seu site acessível para os dados e para coletar, incluindo os seus clientes e endereços de email e nomes de usuário. Roubar milhares de endereços de e-mail dos membros do seu site fornece novos alvos para hackers para enviar spam e e-mail malicioso. Você também pode outras informações interessantes, tais como informações sobre os membros do pessoal que podem ser úteis em roubo de identidade e outras atividades maliciosas.

(4) Spamvertieren: Para usar o Web site para redirecionar o tráfego para outro site malicioso ou spam. Incluído o seu site em e-mails de spam, esses e-mails acabar em pastas de spam, se o site é conhecido por ser prejudicial. Ao incluir seu endereço na web nos e-mails spam, no entanto, evitar os filtros de spam. Então, se alguém recebe spam, cliquei no link para seu site, eles são redirecionados para sites maliciosos. Este é “Spamvertieren”.

(5) Para outros sites de ataque: Uma vez que seu site foi comprometido, um hacker pode usar o site para executar o script ataque bot Invadir outros sites. Seu site pode ser parte de um cluster de máquinas chamado ‘botnets’, ele usou um grande grupo de máquinas para a atividade maliciosa em massa.

Depois que o site foi comprometido, será muito provável a ser utilizado para atividades maliciosas. Isso tem que arruinar uma alta probabilidade de sua reputação site. Não serão punidos no ranking nos motores de busca e pode ser bloqueado pelos navegadores filtros, como Chrome e lista de Navegação Segura do Google. Por esta razão, é importante reconhecer corte cedo e corrigi-los rapidamente.

Que atributos fazem sites WordPress vulnerável?

Atualmente WordPress compõe cerca de 17 por cento de todos os sites. Sua popularidade faz com que seja um dos principais alvos de malware por causa de seu tamanho proporciona a oportunidade para impacto significativo, assim que uma vulnerabilidade é identificada. malwares web aumentou 140 por cento nos últimos dois anos, e provavelmente não vai desaparecer em breve. Os usuários do WordPress pode tomar várias medidas simples para aumentar a segurança do site durante a configuração inicial.

Muitos usuários do WordPress estão sob o equívoco de que a parte mais difícil de construir um site totalmente funcional é necessário não consegue encontrar o desenvolvedor direita e nenhuma ação adicional. Para a maioria talvez fosse verdade, como a plataforma pela primeira vez em 2007 ganhou notoriedade. Hoje, os usuários têm de tomar medidas contra malware. Para ser honesto, não há quase nada pior para a marca e PR que improvisado descoberta de que um site WordPress enviar anúncios para a expansão das várias partes do corpo.

sites WordPress não são vulneráveis. No entanto, a popularidade pode ser combinado com plugins e temas ultrapassados ​​para aumentar a vulnerabilidade, muitas vezes a partir do momento em que você criar um site.

Protect WordPress based Sites

versões ultrapassadas de WordPress

Um dos principais problemas estão fora de versões atualizadas do WordPress. atualizações WordPress irá abordar vulnerabilidades no CMS. No entanto, as vulnerabilidades básicos são raramente um problema. Os usuários podem facilmente instalar os sites WordPress patch de segurança de atualização, em vez de ignorar a mensagem de que o exija. Afinal, o WordPress não tem incentivo para solicitar que os usuários atualizar sites para pontapés. Os usuários com conhecimento limitado de web design e manutenção não são a única, ignorar as mensagens. Na verdade, um corte de alto perfil foi relatado no site da Reuters recentemente conduziu uma versão desatualizada do WordPress.

temas e widgets obsoletos ou prejudiciais

WordPress recentemente descobriu cerca de 80 por cento dos temas livres tem codificação Base64 que pode ser usado para fins maliciosos. temas livres e widgets são oferecidos por WordPress mais seguro possível. Afinal, o WordPress não compromete a segurança e integridade dos sites hospedados CMS. Além disso, o WordPress tem atualmente mais de 20.000 de diferentes plug-in qualidade. Alguns são obsoletos, e outras vulnerabilidades específicas codificadas. Outras páginas de temas e plugins WordPress são arriscados em geral.

popularidade e facilidade de acesso

Cerca de 700 milhões de sites WordPress utilizado um hacker consegue encontrar uma vulnerabilidade em um site WordPress maio 2014. Assim que ele ou ela pode digitalizar outros sites para uma vulnerabilidade similar. A capacidade de lançar um grande ataque com o mínimo esforço, é atraente. Ataques a sites WordPress pode ser surpreendentemente rudimentar. Os primeiros meses de 2013 teve numerosos ataques de força bruta o nome de usuário “admin” e uma combinação de algumas das senhas mais popular em uma tentativa de obter acesso aos servidores, e os hackers foram surpreendentemente capaz de obter acesso de administrador para muitos locais.

Em suma, uma variedade de fatores simples tornar sites WordPress propenso. É quase impossível para reduzir a popularidade do CMS. No entanto, os usuários finais podem demorar muitos passos para criar um site WordPress seguro.

Cinco maneiras simples de aumentar WordPress Segurança do site

É importante começar com as melhores práticas básicas. Rent negligenciado um desenvolvedor de uma companhia respeitável, em vez de um desenvolvedor freelance mais barato, e a sala de estar dos pequenos detalhes que os usuários finais em geral.

1 Encontre um provedor de web hosting confiável

Hospedagem vulnerabilidade para uma grande porcentagem de sites WordPress violados. Escolha um provedor de hospedagem web com uma boa reputação e um bom historial. Pagar um pouco mais por uma solução de hospedagem confiável em vez de imediatamente escolher a opção mais barata e mais conveniente. Entre os web hosts de hoje, o Siteground tornou-se uma das empresas de hospedagem web mais confiáveis. Veja a última promoção da empresa aqui – Siteground Hosting Promo

2 Use senhas fortes e alterá-las conforme necessário

Cerca de 8 por cento dos sites WordPress picadas foram cortados em parte por causa de senhas fracas. Faça sua senha difícil de adivinhar, use caracteres especiais. Além disso, os usuários finais devem alterar senhas, se necessário. Os usuários são aconselhados a alterar as senhas depois de um novo desenvolvedor está trabalhando no site ou depois de um funcionário com acesso ao site tiver encerrado a sua relação com a empresa com a qual o site está vinculado. E ‘fortemente também recomendou que senha diferente para um site WordPress e endereço de e-mail para o uso. criação e gerenciamento de senhas pode parecer simples, mas as melhores práticas são facilmente esquecido.

3. Use um nome de usuário único e escondê-lo na URL do arquivo do autor

Use um nome de usuário único, que não é tão óbvio como o “host” ou “admin”. “Admin” é o nome de usuário padrão para sites WordPress, foi lançada a versão 3.0, e muitos usuários têm mantido o nome de usuário “admin”. Mudá-lo através da criação de uma nova conta administrativa e, em seguida, excluir a conta original “admin”. Ele também esconde o nome do usuário na barra de endereços. Hackers podem ver os nomes de usuários em URLs de páginas autor de arquivo por causa de um padrão no WordPress. Altere a entrada na user_nicename wp_users mesa para esconder o usuário real.

4 limitar as tentativas de acesso

as taxas de senha é uma ameaça real. Em essência, um bot, ou mesmo uma pessoa, fazer várias tentativas para adivinhar a combinação nome de usuário / senha até que eles obtê-lo direito. Você não pode ser bem sucedido em 10-20 ensaios. Mas se você usar uma senha complexa mídia, a tentativa de 100.000 pode ser bem sucedido.

Limite de login tenta desencorajar ataques de força bruta. Não há maneira de impedir os ataques, especialmente se hackers acesso a milhares de endereços IP tem. No entanto, não é uma medida simples que pode possivelmente ajudar.

5 Desligue o processamento do arquivo de dashboard

Saia do processamento dos arquivos diretamente no painel. Normalmente você quiser achar que eles são fáceis sites piratas alvos.

Este método não é uma falha de segurança, e recomenda-se fortemente que todos os usuários a manter os arquivos de sites WordPress regularmente. A importância de manter backups e redundâncias não pode ser suficientemente enfatizada. Uma variedade de plug-in, certos tipos de ataques de segurança desanimado, mas um ataque pode acontecer. Além disso, o WordPress plugin que programa de arquivamento automático e backup disponíveis. A principal fonte de vulnerabilidade é muitas vezes o usuário final.

6 Use uma conta de editor para o conteúdo do trabalho

Com sua conta de administrador principal para o trabalho de edição / publicação (ou trabalhar com o conteúdo em geral) pode ser arriscado. Especialmente se você usar o Wi-Fi em um café ou algo assim.

Em vez disso, crie uma conta de editor por todo o conteúdo que você faz. Mais uma vez, a aplicação não óbvia.

7 backup sua máquina

Para além de que você faça backup de seu site, você precisa para cuidar do computador que você está usando para acessar o site. Há todos os tipos de vírus em circulação. De keylogger simples que prestar muita atenção para suas teclas e, em seguida, tentar criar o seu login e senha para o novo FTP bot base que estão à procura de conexões FTP abertos e, em seguida, carregar um arquivo hackeado diretamente ao servidor.

8 Atualize WordPress regularmente

A atualização do WordPress é uma daquelas coisas que todos nós sabemos que eles têm de fazê-lo, mas de alguma forma se esqueceu de terminar. Então deixe-me dizer-lhe porque é realmente crucial.

Um log de alterações detalhado está localizado ao lado de cada nova versão do WordPress. Este log qualquer erro mudança foi corrigida, é mostrado. Em outras palavras, é um manual para hackers que querem bater versões mais antigas do WordPress.

Como ruim pode ser? Bem, no ano passado os caras WordPress anunciou que todas as versões eram vulneráveis ​​ao cross-site scripting hacks antes 3.9.2. Cerca de 86% de todos os sites WordPress foram então de bruços.

E um pouco recentemente, Sucuri caras detectaram uma campanha de malware.

Felizmente para nós, a solução é muito simples na maioria das vezes … basta ativar as atualizações automáticas para o seu site WordPress ou sempre executar uma atualização manual, logo que você ver uma notificação.

9 Atualização plug-in regularmente

Quando se trata de atualizações, não é apenas a si mesmo WordPress, que deve ser mantido até à data. O mesmo é verdadeiro para os plug-ins que você usou. E as consequências podem ser muito graves se não atentarmos isso.

sempre atualizar o plugin quando uma notificação é exibida. Eles só não sei quando uma nova vulnerabilidade descoberta e, em seguida, corrigido por uma atualização posterior. Se você errar o alvo, você pode dar tempo suficiente para atacar com sucesso o seu site ruim.

10 regularmente o site

Claro, os backups não são sempre o seu site violados. No entanto, eles têm que ter algo absolutamente necessário quando as coisas vão selvagem. Os backups são inestimáveis. Se você tem um backup recente de seu site, então você vai ser capaz de voltar ao normal, não importa o que pode acontecer coisa ruim.

Duas das melhores maneiras de cuidar de:

• um plugin grátis – backup WordPress para Dropbox – leva seus arquivos e banco de dados e armazená-los em sua conta Dropbox. Tudo de uma vez o piloto automático dia.

• a partir VaultPress – uma solução mais poderosa (a paga, começa em US $ 99 / ano).

11 Escolha o melhor acolhimento da web que você pode pagar

Direito na frente de você, e eu devo admitir que baratos anfitriões web não são muito bons honesto. Não salvar plano de servidor de dinheiro. Sempre procurando o melhor serviço de hospedagem na web que você pode pagar.

Algumas recomendações de qualidade, juntamente com links para seus cupons de desconto
Bluehost – Bluehost Discounts
SiteGround
Just host – Just Host Coupons
WP Engine
HostPapa – Host Papa Coupon Codes
Media temple

12 apenas tem que baixar plugins e temas de fontes conhecidas

deficiências acidentais, vamos chamá-los, eles não são a única coisa que eles podem fazer muito. Há também vulnerabilidades intencionais.

Por exemplo, se você receber uma ficha de uma fonte obscuro, poderia o código-fonte é projetado especificamente para cortar o seu site. Neste caso, o plug-in, é ela quem efetivamente cortar o seu próprio site.

O mesmo se aplica às questões. Se você começar um blog ou criar um site com o WordPress, você só sabe plugins e temas.

Como faço para encontrar plugins de qualidade e temas? Os primeiros locais a visitar são o tema eo plugin diretório oficial para WordPress.org. Downloads não são intencionalmente código malicioso.

Quando se trata de temas premium e plugins, você tem que ir pela reputação do vendedor. Tema Código Florestal e garganta são geralmente seguros por causa da longa e minuciosa processo de revisão para cada novo tema e ficha depositado lá.

13 plug-in Excluir que você não usa

Você nunca sabe que surpresas esperam por você em seu plugin. Às vezes, você começa a questões básicas de segurança, outras vezes algo mais sério.

Em ambos os casos, para salvar você de problemas, basta remover todos os plugins que não tenha sido usado. Mantê-lo torna-se inativo não cortá-la. Lembre-se que esses arquivos de origem plugins ainda estão no servidor. Para criar um novo hábito, ao invés de desativar o plugin, você não estiver usando, excluí-lo completamente.

14 reduzir o número total de encaixe

Além do fato de que você obtenha o plugin só de conhecidos fontes e desenvolvedores confiáveis ​​e excluir plugin que não está em uso, você também pode reduzir o número total de plugins instalados. E eu não estou falando apenas quando você excluir as coisas por acidente e perder um bom recurso.

Em vez disso, tente usar os plugins substituir os outros plugins para sua funcionalidade.

15. Use uma segurança plug-in

Segurança plug-ins são basicamente o que o nome sugere são … Através de vários métodos, ajudar o seu blog WordPress para ficar seguro. Isso geralmente é feito através de exames de banco de dados, proteção de firewall, controle de acesso a arquivos, e uma série de outras coisas.

Aqui estão a segurança plug-in mais populares:
Sucuri de Segurança,
um segurança à prova de balas,
antivírus,
Acunetix WP Segurança,
a segurança Wordfence.
Wordfence

A coisa especial sobre eles é que eles muitas vezes operam em piloto automático, então você não necessariamente entender o que está acontecendo sob o capô.

16 Proteja o seu site a partir de ataques de força bruta

ataques de força bruta são um tipo diferente de animal. Basicamente, se alguém quiser confundir as coisas em seu site, você tem duas maneiras possíveis:

* O ataque cirúrgico – onde meticulosamente procurar vulnerabilidades e, em seguida, explorar com precisão laser,
* O ataque de força bruta – onde eles simplesmente tentar várias vezes para adivinhar a senha para o sucesso, o que significa que muitos milhões de testes em uma fileira.

A melhor maneira de proteger-se antes do último era um plugin chamado bruta Proteger. Mas por agosto 2014 Brute Proteger foi integrado jetpack.

17 Usando CloudFlare

CloudFlare é uma solução realmente misterioso para mim. O que é misterioso é o fato de que é muito eficaz no que faz, mas que a maioria das coisas boas disponível gratuitamente.

Em suma, CloudFlare direciona todo o tráfego para seu site através de uma rede de servidores. Esses servidores têm admitido apenas pessoas reais que querem ler o conteúdo e que é suspeito, saltando. sua “Recursos” página olhar para obter uma melhor compreensão.

18 monitores para malwares

Malware é um termo genérico que se refere a várias formas de software intrusivo, incluindo scripts da Web maliciosos – o material que pode atacar seu blog WordPress. E o triste é que você achar que você tem de malwares até que seja tarde demais, de fato, o estrago estava feito. Ah, e Google já caiu do meu lado da escala.

A melhor maneira de salvar-se de dificuldades semelhantes é uma solução que analisa constantemente seu site WordPress, e permite que você saiba sempre que algo vai Shady.

19 Teste para tópicos

Se você está pensando em mudar o seu tema ou obter um tópico para um novo site, você começa com um tema de verificação com este plugin. Vai dizer-lhe se o problema segue a mais recente código padrão do WordPress e práticas recomendadas. Esta é uma boa maneira de descobrir se os desenvolvedores realmente sabiam o que estavam fazendo.

20 Bloquear pingbacks e referências

Coloque os Pingbacks utilidade de lado, é mais um prego no caixão Pingbacks para ataques DDoS podem ser usados. Considere desativar pingbacks em seu site. Isso pode ser feito> Configurações de Tópicos. marque a caixa por:

E ‘perturbadora fácil ignorar o óbvio. Investir na segurança do site WordPress, investiu em uma manutenção de configuração e segurança ideal. Muitas vezes aparentemente pequenas ou insignificantes fraquezas parecem formar em um site WordPress que tem problemas de segurança significativos. Aproveite o tempo para alterar senhas, atualizar os dados de backup, e instalar atualizações. É quase certamente será mais barato do que se engajar em iniciativas Impromptu de controle de danos.

Atualmente, o Managed WordPress hosting está sendo oferecido a preços muito baixos. Então você pode optar facilmente por um desses serviços. Isso leva a carga de atualização e manutenção ao cliente. Godaddy fornece hospedagem wordpress gerenciada a preços baratos usando este Go Daddy Promo Code.