S1:E1 – 3 motivi per cui WordPress è sicuro ma facile da hackerare

Pubblicato: 2022-01-26

Devi averlo ascoltato molto tempo "Non andare con WordPress è facile da hackerare". Ma la realtà è molto diversa e lontana da ciò che pensiamo o ascoltiamo.

Forniamo servizi di sicurezza e manutenzione di WordPress negli ultimi 5 anni. durante questo viaggio, abbiamo concluso che WordPress è di per sé molto sicuro, ma per 3 motivi principali, non guadagna popolarità nella sicurezza come altri CMS PHP come drupal o Joomla.

Quindi, se hai una domanda simile nella tua mente. Avrai la tua risposta in questo articolo.

Sommario

3 motivi per cui WordPress è sicuro ma facile da hackerare?
- Motivo 1. L'udienza di massa non è tecnica
  - 1.1 Che cos'è un utente non tecnico?
  - 1.2 Che errore fa generalmente un utente non tecnico?
  - 1.3 Cosa succede se il proprietario di un sito WordPress non aggiorna tempestivamente le patch di sicurezza?
  - 1.4 Cosa succede se il proprietario di un sito WordPress installa il tema annullato?
  - 1.5 Qual è il problema con il plug-in a pagamento senza abbonamenti?
  - 1.6 Permessi sui file sciolti
  - 1.7 Qual è la soluzione?
- Motivo 2. Molto flessibile
  - 2.1 Cosa intendo per molto flessibile?
  - 2.2 Facciamo un confronto CMS in flessibilità (Drupal, Magento, WordPress, Opencart)
  - Qual è la soluzione a questo?
- Motivo 3. Il più grande azionista sul mercato ~ 36 – 40% del sito web è su wordPress.

3 motivi per cui WordPress è sicuro ma facile da hackerare?

Il pubblico di massa non è tecnico
Molto flessibile nella modifica
I maggiori azionisti del mercato ~ 36 – 40% dei siti web sono su wordpress

Quindi discutiamo uno per uno i tre punti precedenti. Questo ti darà una comprensione approfondita di cosa intendo esattamente con i punti precedenti.

Motivo 1. L'udienza di massa non è tecnica

Quindi la prima domanda che dovrebbe sorgere nella tua mente a cui mi riferisco non è tecnica. Quindi ecco una rapida lista di controllo per analizzare se sei tecnico o meno:

1.1 Che cos'è un utente non tecnico?

Se non conosci la struttura della directory di wordpress, ad esempio come i file vengono salvati da wordpress, dove vengono archiviati i file del tema, ecc.
Non conosci l'architettura client-server.
In caso contrario, il gruppo e l'autorizzazione nel sistema operativo.

Non c'è niente di male, ma qualcuno appartiene dall'alto, commette errori molto facilmente e gli hacker lo anticipano.

1.2 Che errore fa generalmente un utente non tecnico?

Non aggiornare tempestivamente le patch di sicurezza.
Installano il tema annullato.
Inoltra sul plug-in a pagamento senza abbonamenti.
Permessi sui file sciolti

Ci sono molte altre cose che tratteremo uno per uno con le soluzioni in questo corso sulla sicurezza di WordPress. Ma sopra sono i migliori una volta.

1.3 Cosa succede se il proprietario di un sito WordPress non aggiorna tempestivamente le patch di sicurezza?

WordPress e altre società di sicurezza continuano a eseguire test di penetrazione (trovando scappatoie di sicurezza) e continuano a rilasciare la versione sicura del loro codice di base. L'80% dei proprietari di WordPress non ha tempo per fare questo esercizio regolarmente. (almeno su base quindicinale).
Quindi, se non aggiorni, gli hacker utilizzeranno quella scappatoia e prenderanno il controllo del tuo sito Web e lo utilizzeranno come preferiscono.
Ora ti starai chiedendo perché hackerano il tuo inutile sito Web WordPress? Prendono principalmente il succo SEO del tuo dominio. Tratterò questo argomento in dettaglio nelle prossime sessioni.

1.4 Cosa succede se il proprietario di un sito WordPress installa il tema annullato?

i temi annullati sono fondamentalmente versioni gratuite / crackate di temi a pagamento. Come sai niente arriva gratis. Chiunque abbia investito il suo tempo nel cracking, facendo SEO in modo che il loro tema annullato possa raggiungerti. Devono creare la loro fonte di reddito. Lo fanno aggiungendo alcuni codici aggiuntivi (spam).
Nel caso tu voglia usarlo così deve essere verificato in modo incrociato con qualsiasi esperto di wordPress. Ma il costo dell'assunzione di un esperto di WordPress in India o fuori ti costerà più del tema. Quindi consiglio di acquistare un tema tramite ThemeForest sarà una buona scelta.

1.5 Qual è il problema con il plug-in a pagamento senza abbonamenti?

Come le patch di sicurezza di WordPress, anche i plug-in a pagamento rilasciano le loro patch. E il più delle volte a causa di senza abbonamento. I proprietari di siti Web WordPress non lo aggiornano. E diventa un punto morto. Gli hacker se ne avvantaggiano.

1.6 Permessi sui file sciolti

Nella maggior parte dei casi, una stretta autorizzazione ai file può farti risparmiare. La maggior parte del malware o dello spam colpisce il tuo codice, non il database. Quindi rimuovendo il permesso di scrittura. malware o spam non possono modificare il tuo file esistente o crearne uno nuovo.

1.7 Qual è la soluzione?

Evita gli errori di cui sopra o puoi partecipare al nostro corso gratuito sulla sicurezza di wordpress, che ti darà un'idea degli argomenti di base e avanzati.
Mantieni i permessi del tuo server molto stretti.
Interrompi l'esecuzione nella cartella wp-content.
E ce ne sono molti altri di cui parleremo ulteriormente in questo corso.

Motivo 2. Molto flessibile

WordPress offre una flessibilità infinita ai proprietari di siti Web e possiamo apportare modifiche al codice senza effettivamente toccare i codici.

Ci sono molti plugin nel marketing per una funzione specifica. Li installiamo e le cose iniziano a funzionare.

Quindi facciamo rapidamente alcune domande frequenti

2.1 Cosa intendo per molto flessibile?

Flessibilità in WordPress significa che non sono necessarie abilità di codifica speciali per apportare le modifiche richieste al sito Web di WordPress. Qualcosa di facile da capire.

2.2 Facciamo un confronto CMS in flessibilità (Drupal, Magento, WordPress, Opencart)

Ho fatto 4 confronti CMS basati su 3 punti:

Livello di impegno necessario per apportare modifiche alle funzionalità esistenti.
DevOps – Distribuzione del sito Web sul server ed esecuzione delle operazioni correlate per eseguirlo senza intoppi.
Le abilità di codifica richiedono per iniziare a creare siti Web con WordPress.

La community di wordpress è molto ampia. Quindi, se pensi di aver bisogno di una funzione casuale. Otterrai un plug-in per questo. Ne sono sicuro al 99%. Nel caso in cui sia necessario creare una funzionalità personalizzata, è così flessibile nella modularità. Puoi aggiungere quella funzionalità senza toccare i codici effettivi. (tramite ganci)
In DevOps: il processo di installazione è piuttosto semplice. Non hai bisogno di molte estensioni uniche per essere abilitate nel server come abbiamo bisogno in magneto o drupal.

Un non tecnico non può installare magneto, drupal con la stessa facilità che può fare con wordpress.
Ma immagina se i plugin iniziano a modificare i file nel modo sbagliato invece che nel modo giusto? Il tuo sito web può essere fottuto nei prossimi minuti.

Anche se non controlli il tuo sito web, lo SPAM lento killer come lo SPAM SEO giapponese può distruggere i tuoi anni di lavoro SEO.

Qual è la soluzione a questo?

Puoi superare questo problema sapendo due cose:

Struttura della directory di WordPress
Permesso file corretto e come applicarlo.
& monitoraggio delle attività del tuo sito web.

Queste sono due cose che ho trattato nei prossimi articoli. E un breve è stato dato nel video – clicca qui per guardare

Motivo 3. Il più grande azionista sul mercato ~ 36 – 40% del sito web è su wordPress.

Tutti vogliono risolvere il problema in cui il pubblico è numeroso. Perché se risolvono un unico problema di cui soffre la massa. Possono guadagnare più profitto con gli stessi sforzi. Si applicano anche gli hacker di formule simili! Sanno se trovano una scappatoia in particolare WordPress o se il loro famoso plugin è stato installato in milioni di siti web. Hanno accesso a milioni di siti Web contemporaneamente. 💡 Suggerimento professionale – la più importante e consigliata la comprensione – cronologia dell'hacking di siti Web senza valore. Clicca qui per guardare

Ho spiegato tutti questi 3 argomenti in un video di 40 minuti. Nel caso ti fossi perso la visione di quel video. Puoi guardare questo video e capire questo argomento in profondità. Se hai qualche domanda in mente, puoi chiedere nella sezione commenti su YouTube.