WordPress giúp mọi người dễ dàng có một trang web một cách nhanh chóng, nhưng có rất nhiều tạp chí trực tuyến nói về bao nhiêu vấn đề bảo mật mà nó gặp phải.
WordPress có vấn đề bảo mật không? Có
Họ không thể vượt qua? Không
Nó có nên ngăn bạn xây dựng trang web của mình bằng WordPress không? Chắc chắn là không
Một ước tính thận trọng cho thấy số lượng trang web vào khoảng 2 tỷ và WordPress chiếm gần 45% trong số đó. Đó là bởi vì WordPress quá phát triển nên nó bị tấn công rất nhiều. Như một hệ quả trực tiếp, WordPress đã phát triển thành một hệ thống rất an toàn. Trên thực tế, nhiều vấn đề bảo mật mà WordPress đã giải quyết trong nhiều năm vẫn tồn tại trên các CMS khác.
Trong bài viết này, chúng tôi sẽ giải thích Các vấn đề bảo mật của WordPress bạn nên chú ý và quan trọng hơn là cách bạn có thể bảo vệ trang web của mình khỏi chúng.
TL; DR: Bảo vệ trang web của bạn khỏi những lo ngại về bảo mật WordPress với MalCare. MalCare là một plugin bảo mật tất cả trong một, kết hợp một trình quét phần mềm độc hại, tự động dọn dẹp và tường lửa ở một nơi. Ngoài ra, bạn có thể cập nhật trang web của mình một cách an toàn và ngăn chặn tin tặc khai thác các lỗ hổng bảo mật. Nếu bạn đang tìm kiếm một giải pháp chuyên nghiệp cho các vấn đề bảo mật của WordPress, bạn đã tìm thấy nó với MalCare.
WordPress có vấn đề bảo mật không?
Có, có những vấn đề về bảo mật với WordPress, nhưng những vấn đề này không còn khó giải quyết nữa. Bạn không cần phải có kinh nghiệm phát triển hoặc đã quen mày mò mã WordPress để có thể chống lại các mối đe dọa. Thực hiện theo các bản sửa lỗi đơn giản được đưa ra trong bài viết này và bạn sẽ có một trang web WordPress mạnh mẽ, an toàn.
16 Các vấn đề bảo mật WordPress phổ biến có thể ảnh hưởng đến trang web của bạn
WordPress có rất nhiều vấn đề về bảo mật, nhưng điều tốt là tất cả chúng đều có thể dễ dàng giải quyết. Không ai muốn dành thời gian quản lý bảo mật trang web của họ, thay vì phát triển nó hoặc tăng doanh thu của họ.
Ngoài các lỗ hổng bảo mật của WordPress và mật khẩu bị xâm nhập, phần mềm độc hại và các cuộc tấn công cũng là các vấn đề bảo mật. Mặc dù các cuộc tấn công phần mềm độc hại và WordPress đôi khi được sử dụng thay thế cho nhau, nhưng chúng khác nhau. Phần mềm độc hại là mã độc mà tin tặc đưa vào trang web của bạn; trong khi các cuộc tấn công là cơ chế chúng sử dụng để đưa phần mềm độc hại vào. Trong danh sách bên dưới, chúng tôi đã đề cập đến tất cả 4 loại vấn đề bảo mật của WordPress.
Dưới đây là danh sách các vấn đề bảo mật wordpress phổ biến mà bạn cần biết:
- Chủ đề và plugin lỗi thời
- Mật khẩu yếu
- Phần mềm độc hại trên trang web WordPress của bạn
- Phần mềm độc hại spam SEO
- Lừa đảo lừa đảo
- Chuyển hướng độc hại
- Mật khẩu được sử dụng lại
- Phần mềm vô hiệu
- Cửa hậu trên trang web WordPress của bạn
- phần mềm độc hại wp-vcd.php
- Tấn công vũ phu
- Chèn SQL
- Các cuộc tấn công tập lệnh trên nhiều trang web
- Trang web ở trên HTTP không phải HTTPS
- Email spam được gửi từ WordPress
- Tài khoản người dùng không hoạt động
1. Các plugin và chủ đề lỗi thời
Các plugin và chủ đề WordPress đều được xây dựng bằng mã và như chúng tôi đã giải thích trước đó, các nhà phát triển đôi khi mắc lỗi trong mã. Những sai lầm có thể gây ra mất hiệu lực bảo mật, được gọi là lỗ hổng bảo mật.
Các nhà nghiên cứu bảo mật tìm kiếm các lỗ hổng bảo mật của WordPress trong phần mềm phổ biến, để làm cho Internet trở thành một nơi an toàn hơn. Khi họ phát hiện ra các lỗ hổng, họ sẽ tiết lộ chúng cho các nhà phát triển để sửa chữa. Các nhà phát triển có trách nhiệm sau đó sẽ phát hành một bản vá bảo mật dưới dạng bản cập nhật để giải quyết lỗ hổng bảo mật. Sau khi đã đủ thời gian, các nhà nghiên cứu bảo mật sẽ công bố những phát hiện của họ.
Lý tưởng nhất là vào thời điểm này, các plugin và chủ đề nên được cập nhật. Tuy nhiên, điều đó rất thường không xảy ra. Và tin tặc biết và dựa vào xu hướng này để tấn công các trang web và khai thác lỗ hổng.
Các bản cập nhật đôi khi có thể phá vỡ trang web, trừ khi bạn thực hiện chúng một cách cẩn thận. Sử dụng BlogVault để quản lý các bản cập nhật, để trang web được sao lưu trước các bản cập nhật và bạn có thể đảm bảo mọi thứ hoạt động hoàn hảo theo giai đoạn trước khi chuyển sang trang web đang hoạt động.
Khắc phục:Quản lý các bản cập nhật kịp thời trên trang web của bạn.
2. Mật khẩu yếu
Tin tặc sử dụng các chương trình được gọi là bot để tấn công các trang đăng nhập, thử nhiều cách kết hợp tên người dùng và mật khẩu để đột nhập vào một trang web. Thông thường, bot có thể thử hàng trăm cách kết hợp mỗi phút, sử dụng các từ trong từ điển và mật khẩu thường dùng để đột nhập. Khi họ thành công, tin tặc có quyền truy cập mở vào trang web của bạn.
Mặt khác, mật khẩu mạnh rất khó nhớ, vì vậy quản trị viên hãy chọn những mật khẩu dễ nhớ, chẳng hạn như tên, ngày sinh của thú cưng hoặc thậm chí là hoán vị của từ 'mật khẩu'.
Tuy nhiên, điều này làm cho bảo mật trang web dễ bị tấn công. Thông tin này có sẵn trực tuyến một cách hợp pháp thông qua phương tiện truyền thông xã hội và các trang web khác, và bất hợp pháp thông qua các vi phạm dữ liệu hoặc web đen. Điều tốt nhất cần làm là có một mật khẩu mạnh, duy nhất để giữ an toàn cho tài khoản và trang web của bạn.
Lưu ý: Bạn cần đặt mật khẩu mạnh trên các tài khoản trang web của mình, bao gồm tài khoản người dùng và tài khoản lưu trữ của bạn. Quản trị viên không thường xuyên thay đổi SFTP và thông tin đăng nhập cơ sở dữ liệu, nhưng nếu bạn đã làm như vậy, hãy đảm bảo rằng bạn cũng đặt mật khẩu mạnh cho những thông tin này.
Ngoài ra, bạn có thể giới hạn số lần đăng nhập trên WordPress. Nếu người dùng có quá nhiều lần đăng nhập không chính xác, họ sẽ tạm thời bị khóa hoặc họ cần điền vào CAPTCHA để chứng minh họ không phải là bot. Biện pháp này ngăn chặn các bot và tạo ra các lỗi cho phép do con người gây ra.
Khắc phục:Thực thi mật khẩu mạnh và giới hạn nỗ lực đăng nhập để chặn bot.
3. Phần mềm độc hại trên trang web WordPress của bạn
Phần mềm độc hại là một thuật ngữ tổng hợp được sử dụng để mô tả bất kỳ mã nào cho phép hoạt động trái phép trên trang web của bạn. Trong các điểm tiếp theo, chúng ta cũng sẽ xem xét các trường hợp cụ thể, chẳng hạn như backdoor và các trò gian lận lừa đảo.
Khi chúng ta nói về việc giải quyết các vấn đề bảo mật của WordPress, mục tiêu là ngăn chặn phần mềm độc hại. Tuy nhiên, như chúng tôi đã nói trước đây, không có hệ thống nào có khả năng chống đạn 100%. Bạn có thể làm mọi thứ đúng đắn, và một hacker thông minh sẽ tìm ra cách mới để xâm nhập vào hàng phòng thủ. Nó là hiếm, nhưng nó xảy ra. Vì vậy, làm thế nào để bạn đối phó với phần mềm độc hại, nếu nó đã có trên trang web của bạn?
Trước hết, bạn cần xác nhận rằng phần mềm độc hại thực sự có trên trang web của bạn. Phần mềm độc hại có thể ẩn trong các tệp, thư mục và trong cơ sở dữ liệu. Chúng tôi đã thấy các tệp phần mềm độc hại giả dạng tệp lõi WordPress, dưới dạng tệp hình ảnh và thậm chí hiển thị dưới dạng plugin. Cách duy nhất để chắc chắn rằng trang web của bạn có bị nhiễm hay không là quét sâu nó hàng ngày. Để làm được điều đó, bạn cần cài đặt MalCare.
MalCare sử dụng một thuật toán phức tạp để phát hiện phần mềm độc hại trên trang web của bạn. Các máy quét khác sử dụng các kỹ thuật hiệu quả một phần như so sánh tệp và đối sánh chữ ký để gắn cờ phần mềm độc hại. MalCare sử dụng hơn 100 tín hiệu để kiểm tra hành vi của mã, sau đó gắn cờ mã đó là phần mềm độc hại nếu mục đích là độc hại. Điều này có hai lợi thế lớn:một, không có kết quả dương tính giả, mã tùy chỉnh bị gắn cờ là phần mềm độc hại; và hai, ngay cả những biến thể mới nhất của phần mềm độc hại cũng được phát hiện một cách chính xác.
MalCare chính xác hơn 95% khi quét phần mềm độc hại và hoàn toàn miễn phí. Nếu kết quả quét cho thấy trang web của bạn bị tấn công, thì bạn mới cần nâng cấp để làm sạch nó. Với MalCare, tính năng tự động làm sạch sẽ loại bỏ phần mềm độc hại khỏi trang web WordPress của bạn, giúp trang web của bạn trở lại nguyên sơ một lần nữa.
Khắc phục:Quét và làm sạch trang web của bạn bằng MalCare.
4. Phần mềm độc hại spam SEO
Thư rác SEO là một phần mềm độc hại đặc biệt nghiêm trọng được tin tặc sử dụng để chuyển hướng lưu lượng truy cập trang web của bạn ra khỏi trang web của bạn đến các trang web spam và mờ ám của chúng. Họ thực hiện điều này bằng cách chiếm đoạt kết quả tìm kiếm của bạn trên Google, chèn mã vào các trang hiện có của bạn hoặc bằng cách chuyển hướng lưu lượng truy cập đến các trang web của riêng họ. Đôi khi họ làm tất cả những điều này. Trong bất kỳ trường hợp nào, đó luôn là tin xấu.
Có một số biến thể phổ biến của phần mềm độc hại spam SEO, như hack từ khóa tiếng Nhật và hack dược phẩm. Cả hai biến thể này đều nổi tiếng vì các triệu chứng của chúng cụ thể là các ký tự tiếng Nhật hoặc từ khóa dược phẩm trong kết quả tìm kiếm.
Tất cả các loại phần mềm độc hại spam SEO đều cực kỳ khó loại bỏ theo cách thủ công vì chúng có thể tạo ra hàng trăm nghìn trang spam mới, không thể loại bỏ dễ dàng. Ngoài ra, chúng còn chèn phần mềm độc hại vào các tệp và thư mục cốt lõi của WordPress, như tệp .htaccess, có thể phá vỡ trang web nếu nó không được làm sạch đúng cách.
Các trang web có các dòng phần mềm độc hại này luôn bị gắn cờ trên Google Search Console, đưa vào danh sách đen của Google và khiến máy chủ web tạm ngưng tài khoản lưu trữ của bạn. Do đó, chìa khóa để đối phó với vụ hack này là để cho các chuyên gia, trong trường hợp này là một plugin bảo mật WordPress có tên là MalCare.
MalCare sẽ không chỉ loại bỏ phần mềm độc hại mà còn đảm bảo trang web của bạn được bảo vệ bằng tường lửa tiên tiến.
Khắc phục:Xóa phần mềm độc hại spam SEO bằng MalCare.
5. Lừa đảo lừa đảo
Phần mềm độc hại lừa đảo là một trò lừa đảo gồm hai phần, lừa người dùng cung cấp thông tin chi tiết bí mật của họ bằng cách giả mạo là các thương hiệu đáng tin cậy.
Phần đầu tiên là gửi một email có vẻ ngoài chính thức đến một người dùng không nghi ngờ, thường với một cảnh báo thảm khốc rằng điều gì đó khủng khiếp sẽ xảy ra nếu họ không cập nhật mật khẩu hoặc điều gì đó ngay lập tức. Ví dụ:khi một email lừa đảo giả mạo khách hàng lưu trữ web, họ có thể nói rằng trang web có nguy cơ bị gỡ xuống.
Nửa sau của vụ lừa đảo diễn ra trên một trang web. Email lừa đảo thường có một liên kết đưa người dùng đến một trang web dường như chính thức và yêu cầu họ nhập thông tin đăng nhập của họ. Trang web rõ ràng là giả mạo, và đây là cách nhiều người xâm phạm tài khoản của họ.
Trên các trang web WordPress, lừa đảo có hai loại, tùy thuộc vào phần nào của trò lừa đảo đang xảy ra. Trong trường hợp đầu tiên, quản trị viên WordPress nhận được email lừa đảo về cách thức cập nhật cơ sở dữ liệu được yêu cầu cho trang web của họ và họ bị lừa nhập chi tiết đăng nhập của mình.
Mặt khác, tin tặc có thể sử dụng trang web của bạn cho các trang giả mạo. Thường thì quản trị viên trang web đã bắt gặp biểu tượng ngân hàng hoặc biểu tượng trang web thương mại điện tử trên trang web của họ, mặc dù họ không có lý do gì để ở đó. Chúng được sử dụng để lừa mọi người.
Google rất nhanh chóng truy quét các trò gian lận lừa đảo, và đặc biệt là trên các trang web lưu trữ các trang này. Trang web của bạn sẽ bị đưa vào danh sách đen và bị loại với thông báo phát hiện trang web lừa đảo và điều đó thật tồi tệ đối với lòng tin và thương hiệu của khách truy cập. Mặc dù bạn vô tội, nhưng trang web của bạn đã trở thành nơi lưu trữ cho một trò lừa đảo. Bạn bắt buộc phải loại bỏ phần mềm độc hại này càng sớm càng tốt và thực hiện các bước để kiểm soát thiệt hại.
Khắc phục:Xóa phần mềm độc hại lừa đảo khỏi trang web của bạn với MalCare và khuyên người dùng của bạn không nhấp vào bất kỳ liên kết nào từ trong email.
6. Chuyển hướng độc hại
Một trong những cách hack WordPress tồi tệ nhất là hack chuyển hướng độc hại. Thật là vô cùng khó chịu khi truy cập trang web của bạn, chỉ để bị đưa đến một trang web spam hoặc lừa đảo khác, bán các sản phẩm và dịch vụ đáng ngờ. Thông thường, quản trị viên WordPress thậm chí không thể đăng nhập vào trang web của họ do phần mềm độc hại chuyển hướng bị tấn công.
Có nhiều biến thể của phần mềm độc hại này và nó lây nhiễm hoàn toàn vào các tệp và cơ sở dữ liệu của trang web. Chúng tôi đã thấy các trường hợp phần mềm độc hại chuyển hướng bị tấn công trong mỗi bài đăng của trang web có hơn 500 bài đăng. Đó là một cơn ác mộng và quản trị viên đã thất vọng một cách dễ hiểu.
Cách duy nhất để loại bỏ phần mềm độc hại chuyển hướng độc hại là sử dụng một plugin bảo mật. Trên thực tế, có thể bạn sẽ cần trợ giúp để cài đặt plugin vì bạn không thể đăng nhập vào trang web của mình. Đó là nơi nhóm hỗ trợ của MalCare có thể giúp bạn. Họ sẽ hướng dẫn bạn quá trình cài đặt và nếu cần, hãy dọn dẹp trang web cho bạn.
Khắc phục:Loại bỏ phần mềm độc hại chuyển hướng bị tấn công với MalCare.
7. Mật khẩu được sử dụng lại
Mật khẩu được sử dụng lại có thể là mật khẩu mạnh, như chúng ta đã nói ở phần trước, nhưng chúng không nhất thiết phải là duy nhất.
Ví dụ:tài khoản mạng xã hội và tài khoản trang web của bạn có cùng một chuỗi các chữ cái, ký tự và số cho mật khẩu. Bạn đã quen với việc nhập mật khẩu và bạn nghĩ rằng nó không thể đoán được vì vậy đó là một mật khẩu tốt.
Chà, bạn đúng một nửa. Đó là một mật khẩu tốt, nhưng chỉ dành cho một tài khoản. Quy tắc chung là không bao giờ sử dụng lại mật khẩu trên các tài khoản. Và lý do là nguy cơ vi phạm dữ liệu tiềm ẩn.
GoDaddy đã có một vi phạm vào tháng 9 năm 2021 mà họ chỉ phát hiện ra vào tháng 11 năm 2021. Đến thời điểm đó, cơ sở dữ liệu của 1,2 triệu người dùng và thông tin đăng nhập SFTP đã bị xâm phạm. Nếu bất kỳ người dùng nào trong số những người dùng đó đã sử dụng những mật khẩu đó ở nơi khác, chẳng hạn như tài khoản ngân hàng, thì thông tin đó giờ đã nằm trong tay của tin tặc. Việc xâm nhập vào các tài khoản khác trở nên dễ dàng hơn nhiều.
Chúng tôi tin tưởng các dịch vụ và trang web khác nhau để bảo mật dữ liệu của chúng tôi, nhưng không có hệ thống nào hoàn toàn chống được đạn. Mọi thứ có thể và sẽ vỡ ra vào dịp nào đó. Mục đích là để hạn chế thiệt hại càng nhiều càng tốt. Tạo mật khẩu mạnh và duy nhất cho mọi tài khoản sẽ giúp bạn thực hiện điều đó.
Khắc phục:Đặt mật khẩu duy nhất và sử dụng trình quản lý mật khẩu để ghi nhớ chúng.
8. Phần mềm Nulled
Các plugin và chủ đề Nulled là các phiên bản cao cấp có giấy phép crack miễn phí trực tuyến. Hoàn toàn khác với khía cạnh đạo đức của việc ăn cắp từ các nhà phát triển, phần mềm nulled là một nguy cơ bảo mật WordPress rất lớn.
Hầu hết các chủ đề và plugin bị vô hiệu hóa đều dính phần mềm độc hại. Tin tặc dựa vào mọi người để muốn mua một sản phẩm cao cấp và đợi họ cài đặt nó. Trang web nhận được một lượng phần mềm độc hại được giao tận tay và trang web hiện đã bị tấn công. Đây là lý do duy nhất tại sao bất kỳ ai cũng bận tâm đến việc bẻ khóa phần mềm cao cấp ngay từ đầu. Robin Hood không tham gia vào hệ sinh thái WordPress.
Ngay cả khi các chủ đề và plugin bị vô hiệu hóa không có phần mềm độc hại trên đó — điều này rất hiếm — bạn không thể cập nhật chúng. Vì chúng không phải là phiên bản chính thức nên rõ ràng chúng không nhận được sự hỗ trợ từ các nhà phát triển. Vì vậy, nếu một lỗ hổng được phát hiện và các nhà phát triển tung ra bản vá bảo mật, phần mềm nulled cũng đã lỗi thời với lỗ hổng bảo mật, ngoài việc có phần mềm độc hại được cài đặt trên đó.
Khắc phục:Tránh các plugin và chủ đề bị vô hiệu hóa như bệnh dịch hạch.
9. Các cửa hậu trên trang WordPress của bạn
Backdoor, giống như tên của nó, là những cách thay thế và bất hợp pháp để truy cập mã của trang web của bạn. Cùng với phần mềm độc hại, tin tặc tiêm mã backdoor vào trang web của bạn, vì vậy nếu phần mềm độc hại được phát hiện và loại bỏ, sau đó có thể lấy lại quyền truy cập bằng cách sử dụng cửa hậu.
Backdoor là một trong những lý do chính mà chúng tôi khuyên bạn không nên làm sạch thủ công phần mềm độc hại khỏi trang web của mình. Bạn có thể tìm thấy các tập lệnh phần mềm độc hại và xóa chúng, nhưng các cửa hậu có thể được che giấu rất khéo léo và gần như trở nên vô hình.
Cách duy nhất để xóa backdoor khỏi trang web của bạn là sử dụng plugin bảo mật WordPress, như MalCare. MalCare loại bỏ các backdoor cũng như phần mềm độc hại một cách nhanh chóng và dễ dàng với tính năng tự động làm sạch.
Khắc phục:Sử dụng plugin bảo mật để xóa các cửa hậu.
10. phần mềm độc hại wp-vcd.php
Phần mềm độc hại wp-vcd.php gây ra các cửa sổ bật lên spam trên trang web WordPress của bạn hướng người dùng đến các trang web khác. Nó có cùng mục đích với hack spam SEO và chuyển hướng độc hại, nhưng hoạt động khác. Nó có một số biến thể như wp-tmp.php và wp-feed.php.
Phần mềm độc hại wp-vcd.php lây nhiễm vào các trang web bằng mã thực thi mỗi khi trang web tải. Đây là một trong những cách hack khó chịu nhất lây nhiễm các trang web WordPress, bởi vì ngay sau khi bạn gỡ bỏ nó, nó dường như quay trở lại ngay lập tức; trong một số trường hợp, ngay lập tức. Nếu từng có phần mềm độc hại có thể được ví như một loại vi-rút tái phát không thể khởi động được, thì wp-vcd.php là một trong những phần mềm độc hại.
Phần mềm độc hại wp-vcd.php chủ yếu lây nhiễm vào các trang web thông qua các plugin và chủ đề bị vô hiệu hóa. Wordfence đi xa hơn để gọi nó là:“phần mềm độc hại mà bạn đã cài đặt trên trang web của chính mình”; mà chúng tôi nghĩ là hơi khắc nghiệt, nhưng nó nhấn mạnh sự nguy hiểm của phần mềm nulled.
Khắc phục:Loại bỏ phần mềm độc hại wp-vcd.php khỏi trang web của bạn ngay lập tức với MalCare.
11. Tấn công vũ lực
Tin tặc sử dụng bot để bắn phá trang đăng nhập của bạn bằng tổ hợp tên người dùng và mật khẩu, để có được quyền truy cập. Phương pháp này được gọi là một cuộc tấn công vũ phu và có thể thành công nếu mật khẩu yếu hoặc giống với mật khẩu được tìm thấy trong một vụ vi phạm dữ liệu.
Các cuộc tấn công vũ lực không chỉ khủng khiếp về bảo mật mà còn tiêu tốn tài nguyên máy chủ của trang web của bạn. Mỗi khi tải trang đăng nhập, nó yêu cầu một số tài nguyên. Thông thường, việc sử dụng đĩa là không đáng kể, vì vậy nó không ảnh hưởng đáng kể đến hiệu suất. Nhưng các chương trình bạo lực tấn công trang đăng nhập với tốc độ vài trăm - nếu không muốn nói là hàng nghìn lần mỗi phút. Nếu trang web của bạn được lưu trữ chia sẻ, sẽ có những hậu quả đáng chú ý.
Cách để chống lại các cuộc tấn công brute force là có tính năng bảo vệ bot cho trang web của bạn, cũng như hạn chế các nỗ lực đăng nhập không chính xác. MalCare đi kèm với tính năng bảo vệ bot được tích hợp trong plugin bảo mật.
Bạn cũng có thể bật CAPTCHA trên trang đăng nhập của mình. Bạn có thể thấy lời khuyên để ẩn trang đăng nhập của mình bằng cách thay đổi URL mặc định, nhưng đừng làm điều này. Rất khó để lấy lại nếu URL đó bị mất và bạn sẽ bị khóa khỏi trang web của mình cùng với tin tặc.
Khắc phục:Hạn chế số lần đăng nhập và nhận được sự bảo vệ của bot cho trang web của bạn.
12. Chèn SQL
Tất cả các trang web WordPress đều có cơ sở dữ liệu lưu trữ thông tin quan trọng về trang web. Những thứ như người dùng, mật khẩu băm, bài đăng, trang, bình luận của họ được lưu trữ trong bảng và được chỉnh sửa và truy xuất thường xuyên bởi các tệp trang web. Cơ sở dữ liệu hiếm khi có thể truy cập trực tiếp và được kiểm soát bởi các tệp trang web để bảo mật.
SQL injection là cuộc tấn công đặc biệt nguy hiểm, vì tin tặc có thể tương tác trực tiếp với cơ sở dữ liệu. Họ sử dụng các biểu mẫu trên trang web của bạn để chèn các truy vấn SQL, cho phép họ thao tác hoặc đọc từ cơ sở dữ liệu. SQL là ngôn ngữ lập trình được sử dụng để thực hiện các thay đổi đối với cơ sở dữ liệu, như thêm, xóa, sửa đổi hoặc truy xuất dữ liệu. Đây là lý do tại sao các cuộc tấn công SQL injection rất nguy hiểm.
Giải pháp là giữ cho các plugin và chủ đề của bạn được cập nhật, vì các lỗ hổng bảo mật của WordPress như đầu vào không được bảo vệ dẫn đến các cuộc tấn công SQL injection thành công. Ngoài ra, một bức tường lửa tốt sẽ tránh xa các tác nhân xấu khỏi trang web của bạn.
Khắc phục:Luôn cập nhật mọi thứ và cài đặt tường lửa.
13. Các cuộc tấn công tập lệnh trên nhiều trang web
Các cuộc tấn công trên nhiều trang web, hay còn gọi là XSS, các cuộc tấn công vào các trang web tương tự như các cuộc tấn công SQL, trong đó tin tặc chèn mã vào trang web. Sự khác biệt là mã nhắm mục tiêu khách truy cập tiếp theo trên trang web của bạn, thay vì cơ sở dữ liệu trang web của bạn.
In an XSS attack, the malware is added to your website. A visitor comes along, and their browser thinks that the malware is part of your website, and thus the visitor is attacked. Generally, cross-site scripting attacks are used to steal data from unsuspecting visitors.
The way to protect your site visitors is to make sure that XSS vulnerabilities don’t exist on your website. The simplest way to do this is to make sure that your website is fully updated. You can take the security to the next level by installing a WordPress firewall plugin as well.
Fix:Install a WordPress firewall, and keep everything on the website updated.
14. Website is on HTTP not HTTPS
You may have noticed that many websites now have a green lock near the URL bar. This is a trust badge for the visitor to say that the website is using SSL. SSL is a security protocol that encrypts traffic back and forth from a website.
A good analogy for this is to think of a telephone call. The data passing between two people on the line is intended to stay between them as a private conversation. However, if a third person was able to tap into that line, they would understand the data and therefore it is no longer private. However, if two original people were to use a code which only they are able to decipher, regardless of how much the third person overhears, the information’s true meaning is hidden from them.
This is how SSL works for websites. It encrypts the data being sent to and from the website, so that sensitive information cannot be read by a third party and used illegitimately.
The Internet as a whole has been moving towards data security and privacy in the recent decade, and SSL has emerged as one of the fundamental ways to achieve that purpose. Even Google strongly advocates for SSL-enabled websites, going as far as to penalise non-SSL websites on their search results.
Fix:Install an SSL certificate on your website.
15. Spam emails being sent from WordPress
Emails are a cornerstone of digital marketing, and it is a way to engage and interact with website visitors. People are also becoming increasingly judicious about the emails they want to receive, so there is an underlying trust that exists.
Given the delicate nature of trust, it is awful to think that a hacker can insert malware into your website and email spam to your visitors. And yet, that is exactly what some malware does. It hijacks the WordPress core function wp_mail() to send out spam emails.
Malware ordinarily causes Google blacklists and web host suspensions, but in the case of spam emails your web host will also blacklist your email service and you will see a bunch of other errors. In fact, if the spammer adds email addresses to your website as well, then you are in danger of having your email blacklisted altogether.
Fix:Clean the spam email malware from your website, and use an email marketing tool instead.
16. Dormant user accounts
Users on a website change constantly. If you run a blog with multiple authors and editors, for instance, chances are that new writers are added to the website often, while older writers leave.
The crux over here are the old user accounts that aren’t removed promptly become a WordPress security issue over time. Because the accounts exist but passwords aren’t updated regularly, they are vulnerable to attack. Dormant user accounts suffer from the same dangers of compromised passwords, so removing any accounts not in active use is necessary housekeeping.
Additionally, it is important to know who is doing what on your website. Unusual or unexpected user actions are an early signal of hacked accounts.
Fix:Remove inactive user accounts and use an activity log.
Best practices to prevent WordPress security concerns
WordPress security issues are constantly evolving, and it is hard to stay on top of them in addition to all the other work that goes into running a website. Therefore, here are a few good security practices that can help you protect your website from malware and hackers, without extra effort on your part.
- Install a security plugin: The best defence your WordPress has against hackers is a good security plugin like MalCare. A WordPress security plugin should have a malware scanner and cleaner. Ideally, it should also come with a firewall, brute force protection, bot protection and an activity log. MalCare has all this, and security experts readily available for any help. It is a hands-off solution, only alerting you when action is necessary, and doesn’t hog up server resources in the bargain. Install MalCare now, and breathe a sigh of relief.
- Use a firewall: A web application firewall protects your website from all kinds of bad actors. Hackers want to exploit vulnerabilities on your website, in addition to other WordPress security issues. A firewall prevents that, by only letting in legitimate visitors. It is a must-have for your website, and it is even better if it comes bundled with your security plugin.
- Keep everything updated :Ensure that WordPress core, plugins and themes are always updated. Updates often contain security patches for vulnerabilities, and therefore it is critical to update as soon as possible. However, we know that applying updates is not always straightforward. To minimise risk, safely update your website using BlogVault. Your site is backed up just before the update, and you can see how the update performs on staging first before updating your live website.
- Have two-factor authentication: Passwords can get cracked, especially if they aren’t particularly strong or have been reused. Two-factor authentication generates a real-time login token in addition to passwords that is much harder to crack. You can enable two-factor authentication using a plugin, like WP 2FA or another one off of this list.
- Enforce strong password policies: We cannot stress the importance of strong and unique passwords enough. We recommend using a password manager. In order to protect your website from security issues, like brute force attacks, your security plugin should limit login attempts as well.
- Regular backups: Sometimes backups are the last resort with a hack, and your website should always have a backup that is stored away from your website server. Learn more about how to backup your WordPress site.
- Use SSL: Install an SSL certificate on your website to encrypt communication back and forth from it. SSL has become a de facto standard, and Google actively promotes its use for a safer browsing experience.
- Conduct a security audit every few months: Review users and their actions on the website, with an activity log. Unusual activity can be an early warning signal of malware. It is also advisable to implement the least privileges policy for admin and user accounts. Finally, purge any unused plugins or themes on your website. Deactivated themes and plugins are overlooked for updates, and WordPess security vulnerabilities go unchecked causing websites to be hacked.
- Choose reputable plugins and themes: This is slightly subjective as a security measure, but it is worth using the best plugins and themes on your website. Check if the developer regularly updates their product, for instance. In addition to online reviews and support experiences of other users, this is an important metric. Additionally, premium software is generally a better bet overall. But most crucially, never use nulled software. It often carries malware in the code, having been cracked for that very reason. It is just not a worthwhile risk.
You can also harden your WordPress website, and educate yourself on how WordPress security works.
Top causes of hacks on WordPress sites
There are two weak links in the security of your WordPress site:vulnerabilities and passwords . 90%+ of malware is injected via vulnerabilities, 5%+ because of compromised or weak passwords, and <1% are because of other causes, like poor web host services.
Vulnerabilities
While WordPress itself is secure, websites are built with more than just core WordPress. We use plugins and themes to extend functionality of our websites, add features, have a nice design, and interact with website visitors. All this is achieved with plugins and themes.
Plugins and themes, like WordPress, are built with code. When developers write code, they can make mistakes that result in loopholes. Loopholes in code can be exploited by hackers to perform actions that were not intended by the developer.
For instance, if your website allows users to upload images, say for a profile picture, the upload should only be an image file. However, if the developer has not put in those constraints, a hacker can upload a PHP file full of malware instead. Once it is uploaded to the website, the hacker can then execute the file and the malware will spread to the rest of the site. These loopholes are vulnerabilities. There are other types, of course, but these are the major ones that afflict WordPress sites.
Compromised passwords
If a hacker has your account credentials, they don’t need to hack into your website. That’s why strong passwords are so important.
There are two principal ways that passwords become the weakest link in the WordPress security chain. One is by using easy-to-remember passwords, which are consequently easy for hackers and their bots to guess. And the second way is when users reuse passwords across websites and services.
Data breaches are all too common. For example, a user has the same password for two different accounts:an ecommerce website and their Twitter account. If the ecommerce website has a data breach, where user data is stolen, their Twitter account is now compromised. The hacker can log into the account and cause all manner of havoc.
Both vulnerabilities and compromised passwords are WordPress security risks you can deal with easily, with the right tools and the right advice. Fortunately, both of those things are here.
Kết luận
WordPress security issues can be daunting to an inexperienced admin, but that doesn’t mean there is no solution to them. Security issues can be resolved easily, by listening to expert advice. We, at MalCare, firmly believe that WordPress security should be a hands-off affair, leaving you free to do other things with peace of mind.
We hope that the article helped allay any fears. If there is something we have not addressed, please do let us know. We would love to hear from you.
Câu hỏi thường gặp
Does WordPress have security issues?
WordPress is a secure system, but like any other system, it is not perfect. Plugins and themes add functionality and complexity to a website, but also bring in security risks. However, there are ways to mitigate those successfully, so WordPress websites are protected from hackers.
Is WordPress easily hacked?
WordPress is not easily hacked, however, some of its plugins and themes may not be as secure. Installing a security plugin with an integrated firewall, like MalCare will make a WordPress website much more secure.
Is WordPress secure for commerce?
WordPress is secure for commerce, if the website has a security plugin with a firewall installed. The security plugin will perform daily scans to alert users of malware. MalCare is a great security plugin that not only scans the website, but provides a 1-click auto-clean option as well. MalCare also comes with a firewall to keep away bad traffic from the commerce website, in addition to protecting the website from bots that scrape data.
What are your must-have WordPress security requirements?
The must-have WordPress security requirements are:
- Malware scanner
- Malware cleaner
- WordPress firewall
- Brute force protection
- Bot protection
- Activity log
- Two-factor authentication
These features go a long way toward protecting websites from WordPress security issues.
Are outdated WordPress plugins a security risk for a site?
Yes, outdated WordPress plugins are a security risk for a website. Plugin updates usually contain security patches that address errors in the plugin code. These errors are known as vulnerabilities and can be exploited by hackers to gain unauthorised access to a website. Therefore it is critically important to update WordPress plugins as soon as possible. Same goes for WordPress themes.