Need help? Chat now!

Hostwinds Блог

Результаты поиска для:


Советы по безопасности WordPress, чтобы обезопасить себя от уязвимостей плагинов Популярное изображение

Советы по безопасности WordPress, чтобы обезопасить себя от уязвимостей плагинов

от: Hostwinds Team  /  апреля 28, 2017


WordPress является одним из наиболее часто используемых платформы для создания веб-сайта.К сожалению, у него плохой реп по безопасности. Взломанный отчет Trend Sucuri говорит, что более ¾ проанализированных зараженных сайтов работали на WordPress. Половину времени на этих сайтах не устанавливались последние версии WordPress. Во многих случаях виноваты плагины.

Над ¾ взломанных сайтов, проанализированных взломанным отчетом SUCURI Trend Trend Run On WordPress ... ваши плагины безопасны?#Wordpress. Нажмите, чтобы твитнуть

Один из 50 000 плагинов перечислены в официальном репозитории в одиночку, не говоря уже о многих представленных исключительном со стороны 3-я сторон ... Так тщательно выбирая плагины и оставаясь в курсе уязвимых плагинов, является большой частью обеспечения вашего сайта как можно безопаснее.И это то, что это руководство поможет вам сделать.

Запись: Если вы пытаетесь понять безопасность вашего сайта WordPress, вы также можете быть заинтересованы в нашем Советы по безопасности .htaccess для WordPress.

Проверьте наличие известных уязвимостей перед установкой плагина.

Многие угрозы безопасности для плагинов публично перечислены в Интернете.Итак, прежде чем вы установите что-то, зайдите минуту, чтобы посмотреть, уже известно, что он имеет риск безопасности.Вы можете начать с поиска База данных уязвимостей WPScan, спонсируемый Sucuri (вы можете проверить свою тему здесь).Конечно, вы всегда можете проверить этот список для плагинов, которые вы уже работаете.

Перед установкой нового плагина WordPress проверьте базу данных уязвимостей WPScan, чтобы проверить наличие известных уязвимостей.. Нажмите, чтобы твитнуть.

Это постоянно растущий список плагинов, которые имеют известные уязвимости, которые постоянно меняются.

Если вы обнаружите, что плагин, который вы хотите использовать, указан, проверьте, какую версию был указан оповещение для.С тех пор произошла новая версия выпуска?Если это так, проверьте историю версии плагина, чтобы увидеть, была ли она исправлена.На официальном хранилище WordPress вы можете увидеть, как долго это было с момента последнего обновления, а также проверьте изменяемый файл:

И говорить о последнем обновлении Tidbit, держитесь подальше от плагинов, которые не были обновлены за долгое время.Разработчик, скорее всего, сдвинулся на выполнение других вещей и не поддерживает их плагин, который не подходит для безопасности.Официальный каталог плагинов WordPress отобразит предупреждающий баннер, если плагин не был обновлен через два или более года.

Еще одна хорошая индикация того, является ли плагин, как правило, тот, который можно доверять, - это посмотреть, сколько у него установлено.Однако предположим, что это более новый плагин или тот, который не получил большого внимания.В этом случае он может не иметь много активных установок.Но если WP Super Cache имеет сотни тысяч или миллионов активных установок, то это, вероятно, доверенный плагин.

Последний шаг, который вы можете сделать, - это просмотреть раздел поддержки и посмотреть, насколько быстро разработчик реагирует на сообщения о проблеме.

Подумайте дважды о сторонних плагинах

Там есть плагин для всего, о чем вы можете подумать.Многие из которых перечислены на официальном каталоге плагина WordPress.Но это не единственное место, где их найти.CodeCanyon имеет более 5000 по сравнению с этой записью.Многие участники членства имеют свои плагины, и есть много плагинов, доступных только с сайтов своих разработчиков.

Большинство разработчиков не вышли.Но не думайте, что не некоторые с тенистыми намерениями.Будьте осторожны и сделайте свое исследование на любом платеже, который вы хотите использовать, особенно если они исключительно доступны от разработчика.

Всегда (попробуйте) использовать последнюю версию.

Одно из главных вещей, которые вы должны делать, если вы используете плагины, сохраняются их обновленными.Обновления часто исправляют вновь обнаруженные угрозы безопасности, которые объявлены и размещены в Интернете для всех, чтобы увидеть.И вы можете поспорить, что это будет хакеры не игнорируют новости, и они знают об этих угрозах безопасности.

Так что, если вы не будете на сегодняшний день, это может писать катастрофу.Они разрабатывают план поехать после выполнения сайтов WordPress, используя этот плагин с версией, которая имеет уязвимость ... и это включает в себя, если вы не обновляете свои плагины, когда выпущена новая версия.

Некоторые люди советуют устанавливать ваши плагины на автоматическое обновление, когда выпущена новая версия.Теоретически, это лучший вариант.Однако есть случаи, когда он может сломать ваш сайт.Иногда обновления не будут совместимы с вашей темой или чем-то еще, что вы работаете.

Мы рекомендуем использовать автоматические обновления, но с одним захватом ... это сначала, чтобы убедиться, что вы всегда иметь текущие резервные копииОтказ Если что-то сломается, вы можете отключить плагин и восстановить ваш сайт.

Отключение плагинов с уязвимостью

Предположим, вы узнаете, что вы управляете плагином с уязвимостью.Не существует обновление, которое исправляет его.Пришло время отключить или удалить его.Это может быть неудобно, если это то, на что вы полагаетесь.Но если вы этого не сделаете, вы намеренно выкладываете свой сайт на риск.Найдите другой плагин или что-то еще, что даст вам ту же функциональность.Нет никакого пути вокруг этого.

Теперь вы должны решить, стоит ли его отключить и надеяться, что обновление выпущено в ближайшее время или полностью удалить и удалить его.Если вы отключите его, файлы плагина все еще там, а хакеры, вероятно, все равно доберутся до них.

Но если вы вообще удалите плагин и любой след от него, то для них ничего не осталось, чтобы эксплуатировать.Если вы выберете этот маршрут, Брэд Далтон имеет отличный учебник. В нем показано, как удалить оставшиеся файлы и данные, которые плагины часто оставляют после их удаления.

Автоматические оповещения об уязвимостях

Как только вы сделали это, вы можете рассмотреть возможность использования чего-то, что даст вам автоматические оповещения уязвимости или даже защищают свой сайт от угроз в режиме реального времени.Есть несколько способов сделать это, в том числе Wordfence и Плагины Плагин уязвимостей.

Используйте эти советы, чтобы уменьшить вероятность того, что ваш сайт WordPress влияет на уязвимости плагинов.

У вас когда-нибудь был взломан сайта из-за плагина? Что ты сделал? Есть ли что-нибудь еще, что вы думаете, что люди должны знать о том, когда речь идет о плагинах и безопасности сайтов WordPress?

Написано Hostwinds Team  /  апреля 28, 2017