<b>SQL-инъекция ломает сайт там, где запрос к базе собран из чужого ввода</b>
Главная ошибка — вставлять в SQL строку, пришедшую из формы, URL или cookie. Если значение не проверено и не параметризовано, атакующий может менять логику запроса: обходить авторизацию, читать чужие данные, удалять записи.
Чтобы закрыть эту дыру, используйте параметризованные запросы и подготовленные выражения. Любой ввод считайте недоверенным: проверяйте тип, длину, формат, а для текстовых полей экранирование оставляйте как запасной слой, а не как основную защиту.
Отдельно проверьте:
• SQL в поиске, фильтрах и сортировке
• запросы в админке и AJAX-обработчиках
• импорты, экспорт, отчёты, автологин и восстановление пароля
• кастомные плагины и самописные темы 🛡
Не давайте базе лишние права: приложению обычно не нужен доступ к CREATE, DROP и управлению пользователями. Если у уязвимого запроса будет только чтение, ущерб станет заметно меньше.
Регулярный аудит запросов и ручная проверка точек ввода ловят SQL-инъекции лучше, чем надежда на «безопасный» плагин.
Защита WordPress от взломов
@wp_security_guard_ww
<b>SQL-инъекция ломает сайт там, где запрос к базе собран из чужого ввода</b>
Этот пост опубликован в Telegram-канале Защита WordPress от взломов. Подписаться можно по ссылке: @wp_security_guard_ww.