S1:E1 – 3 powody, dla których WordPress jest bezpieczny, ale łatwy do zhakowania

Opublikowany: 2022-01-26

Musiałeś tego słuchać dużo czasu „Nie idź z WordPressem, łatwo się zhakować”. Ale rzeczywistość jest zupełnie inna i daleka od tego, co myślimy lub słuchamy.

Świadczymy usługi WordPress Security & Maintenance od 5 lat. podczas tej podróży doszliśmy do wniosku, że WordPress sam w sobie jest bardzo bezpieczny, ale z 3 głównych powodów nie zyskuje popularności w dziedzinie bezpieczeństwa, jak inne CMS PHP, takie jak drupal czy Joomla.

Więc jeśli masz podobne pytanie w swoim umyśle. Odpowiedź znajdziesz w tym artykule.

Spis treści

3 powody, dla których WordPress jest bezpieczny, ale łatwy do zhakowania?
- Powód 1. Masowa publiczność jest nietechniczna
  - 1.1 Kim jest użytkownik nietechniczny?
  - 1.2 Jaki błąd popełnia zazwyczaj nietechniczny użytkownik?
  - 1.3 Co się stanie, jeśli właściciel witryny WordPress nie zaktualizuje na czas poprawek bezpieczeństwa?
  - 1.4 Co się stanie, jeśli właściciel witryny WordPress zainstaluje motyw zerowy?
  - 1.5 Na czym polega problem z płatną wtyczką bez subskrypcji?
  - 1.6 Luźne uprawnienia do plików
  - 1.7 Jakie jest rozwiązanie?
- Powód 2. Bardzo elastyczny
  - 2.1 Co rozumiem przez bardzo elastyczny?
  - 2.2 Zróbmy porównanie CMS pod względem elastyczności (Drupal, Magento, WordPress, Opencart)
  - Jakie jest rozwiązanie tego problemu?
- Powód 3. Największy udziałowiec na rynku ~ 36 – 40% Strona internetowa jest na wordPressie.

3 powody, dla których WordPress jest bezpieczny, ale łatwy do zhakowania?

Masowa publiczność jest nietechniczna
Bardzo elastyczny w modyfikacji
Najwięksi udziałowcy na rynku ~ 36 – 40% stron internetowych znajduje się na wordpressie

Omówmy więc kolejno powyższe trzy punkty. To da ci dogłębne zrozumienie, co dokładnie rozumiem przez powyższe punkty.

Powód 1. Masowa publiczność jest nietechniczna

Więc pierwsze pytanie, które powinno pojawić się w waszych głowach, do kogo mam na myśli nietechniczne. Oto krótka lista kontrolna do przeanalizowania, czy jesteś osobą techniczną, czy nietechniczną:

1.1 Kim jest użytkownik nietechniczny?

Jeśli nie wiesz o strukturze katalogów wordpress, np. w jaki sposób pliki są zapisywane przez wordpress, gdzie są przechowywane pliki motywów itp.
Nie znasz architektury klient – serwer.
Jeśli nie masz o grupie i uprawnieniach w systemie operacyjnym.

Nie ma nic złego, ale ktoś należy z góry, bardzo łatwo popełnia błędy, a hakerzy to wyprzedzają.

1.2 Jaki błąd popełnia zazwyczaj nietechniczny użytkownik?

Nie aktualizuj w porę poprawek bezpieczeństwa.
Instalują motyw zerowy.
Przekaźnik na płatnej wtyczce bez subskrypcji.
Luźne uprawnienia do plików

Jest o wiele więcej, które omówimy w tym kursie bezpieczeństwa WordPressa, jeden po drugim, z rozwiązaniami. Ale powyżej są raz na szczycie.

1.3 Co się stanie, jeśli właściciel witryny WordPress nie zaktualizuje na czas poprawek bezpieczeństwa?

WordPress i inne firmy zajmujące się bezpieczeństwem przeprowadzają testy penetracyjne (znajdują luki w zabezpieczeniach) i wypuszczają bezpieczną wersję swojego kodu podstawowego. 80% właścicieli WordPressa nie ma czasu na regularne wykonywanie tego ćwiczenia. (przynajmniej co dwa tygodnie).
Więc jeśli nie zaktualizujesz, hakerzy wykorzystają tę lukę i przejmą Twoją witrynę i użyją jej tak, jak chcą.
Teraz pewnie zastanawiasz się, dlaczego włamują się do Twojej bezwartościowej witryny WordPress? Najczęściej biorą sok SEO z Twojej domeny. Szczegółowo omówię ten temat w nadchodzących sesjach.

1.4 Co się stanie, jeśli właściciel witryny WordPress zainstaluje motyw zerowy?

Nulled motywy są w zasadzie darmowymi / złamanymi wersjami płatnych motywów. Jak wiesz, nic nie jest darmowe. Ktokolwiek zainwestował swój czas w cracking, robi SEO, aby ich zerowy motyw mógł dotrzeć do Ciebie. Muszą stworzyć swoje źródło dochodów. Robią to, dodając do niego dodatkowe kody (spam).
Jeśli chcesz go użyć, musisz go zweryfikować krzyżowo z dowolnym ekspertem od WordPressa. Ale koszt zatrudnienia eksperta od WordPressa w Indiach lub poza nim będzie kosztował więcej niż sam motyw. Dlatego polecam zakup motywu za pośrednictwem ThemeForest będzie dobrym wyborem.

1.5 Na czym polega problem z płatną wtyczką bez subskrypcji?

Podobnie jak poprawki bezpieczeństwa WordPress, płatne wtyczki również publikują swoje poprawki. I przez większość czasu z powodu bez abonamentu. Właściciele witryn WordPress nie aktualizują go. I staje się impasem. Hakerzy to wyprzedzają.

1.6 Luźne uprawnienia do plików

W większości przypadków możesz zaoszczędzić na ścisłych uprawnieniach do plików. Większość złośliwego oprogramowania lub spamu wpływa na Twój kod, a nie na bazę danych. Więc usuwając uprawnienia do zapisu. złośliwe oprogramowanie lub spam nie mogą modyfikować istniejącego pliku ani tworzyć nowego.

1.7 Jakie jest rozwiązanie?

Uniknij powyższych błędów lub możesz dołączyć do naszego bezpłatnego kursu bezpieczeństwa wordpress, który da ci pojęcie o podstawowych i zaawansowanych tematach.
Utrzymuj bardzo ścisłe uprawnienia serwera.
Zatrzymaj wykonywanie w folderze wp-content.
A jest ich wiele więcej, które omówimy w dalszej części tego kursu.

Powód 2. Bardzo elastyczny

WordPress daje właścicielom witryn nieograniczoną elastyczność i możemy wprowadzać zmiany w kodzie bez dotykania kodów.

Wiele wtyczek jest dostępnych w marketingu dla określonej funkcji. Po prostu je instalujemy i wszystko zaczyna działać.

Zróbmy więc szybko kilka FAQ

2.1 Co rozumiem przez bardzo elastyczny?

Elastyczność w WordPress oznacza, że nie potrzebujesz specjalnych umiejętności kodowania, aby wprowadzić wymagane zmiany w witrynie WordPress. Coś, co łatwo zrozumieć.

2.2 Zróbmy porównanie CMS pod względem elastyczności (Drupal, Magento, WordPress, Opencart)

Zrobiłem 4 porównania CMS na podstawie 3 punktów:

Poziom wysiłku potrzebny do wprowadzenia zmian w istniejącej funkcjonalności.
DevOps – Wdrażanie witryny na serwerze i wykonywanie powiązanych operacji, aby działać płynnie.
Umiejętność kodowania wymaga rozpoczęcia tworzenia strony internetowej za pomocą WordPressa.

Społeczność wordpress jest bardzo duża. Więc jeśli po prostu myślisz, że potrzebujesz losowej funkcji. Dostaniesz do tego wtyczkę. Jestem tego w 99% pewien. W przypadku, gdy musisz zbudować niestandardową funkcjonalność, jest tak elastyczna pod względem modułowości. Możesz dodać tę funkcjonalność bez wieczornego dotykania rzeczywistych kodów. (poprzez haki)
W DevOps – proces instalacji jest dość prosty. Nie potrzebujesz wielu unikalnych rozszerzeń, aby włączyć na serwerze, jak potrzebujemy w magneto lub drupalu.

Nietechniczny nie może zainstalować magneto, drupala tak łatwo, jak z wordpressem.
Ale wyobraź sobie, że wtyczki zaczynają modyfikować pliki w zły sposób, a nie we właściwy sposób? Twoja strona internetowa może zostać zjebana w ciągu kilku minut.

Nawet jeśli nie monitorujesz swojej witryny – powolny zabójca SPAM, taki jak japoński SEO SPAM, może zniszczyć Twoje lata pracy w zakresie SEO.

Jakie jest rozwiązanie tego problemu?

Możesz rozwiązać ten problem, wiedząc o dwóch rzeczach:

Struktura katalogu WordPress
Prawidłowe uprawnienia do plików i sposób składania wniosku.
i monitorowanie działań w witrynie.

Są to dwie rzeczy, które omówiłem w nadchodzących artykułach. A brief został podany w filmie – kliknij tutaj, aby obejrzeć

Powód 3. Największy udziałowiec na rynku ~ 36 – 40% Strona internetowa jest na wordPressie.

Każdy chce rozwiązać problem, gdy publiczność jest duża. Bo jeśli rozwiążą pojedynczy problem, na który cierpi masa. Mogą zarobić więcej przy tych samych wysiłkach. Podobni hakerzy formuł również mają zastosowanie! Wiedzą, czy znajdą jedną lukę w konkretnym WordPressie lub ich słynną wtyczkę, która została zainstalowana w milionach stron internetowych. Uzyskują jednocześnie dostęp do milionów stron internetowych. 💡 Pro Tip – najważniejsze i polecane zrozumienie – chronologia hakowania bezwartościowej strony internetowej. Kliknij tutaj, aby obejrzeć

Wszystkie te 3 tematy wyjaśniłem w 40-minutowym filmie. Na wypadek, gdybyś przegapił ten film. Możesz obejrzeć ten film i dogłębnie zrozumieć ten temat. Jeśli masz jakieś pytania w głowie – możesz je zadać w sekcji komentarzy na youtube.