На WordPress работает очень много сайтов. Это одна из самых топовых бесплатных CMS систем. И, конечно же, вниманием она не обделена и среди тех, кто использует эту популярность в своих корыстных целях. И какими же способами злоумышленникам удается получить доступ к вашему сайту?
Самый известный метод – подбор пароля. Адрес «админки» у WordPress одинаковый и далее остается подобрать только правильную комбинацию логин/пароль. С помощью автоматизированных скриптов по базе комбинаций «логин – пароль» можно найти нужные данные. Либо же действуют обычным перебором, уже зная имя пользователя. После авторизации на сайт загружается shell-скрипт, который позволит делать с вашим сайтом все, что необходимо злоумышленнику.
Еще один способ – установка shell-скрипта или вредоносного кода через плагин или тему. Если вы любите менять темы или устанавливать плагины не из официального сайта, то будьте внимательны и осторожны. В коде этих файлов может лежать «backdoor» – «черный вход» для злоумышленника. После установки на сайт скрипт сообщит автору заразы, что вход для него подготовлен. И остается только ждать неприятностей.
Возможно, что вы основательно подошли к обеспечению своей безопасности. У вас установлена последняя версия WordPress, установлены плагины для защиты вашей системы. Но и это не дает 100% гарантии безопасности, если вы сэкономили на хостинге. Дешевый хостинг за 2$ в месяц уничтожит вашу защиту банальным сканированием файлом и размещением вредоносного кода прямо на хостинге. И все это благодаря сайту-соседа по хостингу, который о безопасности не позаботился.
И еще один способ, который работает не всегда и зависит от версии WordPress. Файл install.php, который отвечает за первую установку системы. При определенном запуске он может показать все данные для работы WP и позволить заново установить имя и пароль для администратора.
Будьте бдительны! И поставьте лайк, если узнали что-то новое.