Безопасность WordPress сайта под угрозой

Безопасность WordPress сайта под угрозой

18 июля 0 Автор Игорь Серов

От автора

Хакеры атакуют сайты WordPress, как большие, так и маленькие, причем в минуту происходит более 91 000 атак. К счастью, существует множество способов защитить свой сайт WordPress.

Сегодня я хочу поделиться с вами тем, как вы можете обеспечить безопасность вашего сайта в WordPress с помощью базовых технологий. Я также покажу, как WordPress может быть уязвим для атак, как хакеры компрометируют сайты, как устранить последствия взломанного сайта, а также покажу плагины безопасности, которые могут вам помочь.

Является ли WordPress безопасным?

С таким количеством хакеров, пытающихся регулярно взломать сайты WordPress, вы можете начать задаваться вопросом, действительно ли WordPress безопасен. Вы можете перестать задаваться этим вопросом, потому что WordPress по своей сути безопасен, но есть несколько нюансов.

Команда безопасность WordPress (https://wordpress.org/about/security/), прилагает все усилия, чтобы нейтрализовать любые уязвимости, которые находятся в ядре WordPress. Патчи безопасности включаются в основные обновления, которые публикуются последовательно и регулярно.

Основной принцип безопасности заключается в том, что вам необходимо постоянно обновлять ядро WordPress для исправления всех вскрытых патчей безопасности. К счастью, такие обновления могут быть сделаны автоматически или вручную за пару кликов. Вы также можете отключить автоматические обновления, если вы хотите заранее запустить тесты совместимости новых версий.

Вывод 1

Необходимо обновлять WordPress до актуальной версии — это самое важное мероприятие для безопасности вашего сайта. Все остальные методы не принесут вам пользы, если само ядро WordPress будет уязвимо, а это будет, если ядро не обновлено.

Почему ваш сайт является целью атак

WordPress безопасен, однако все веб-сайты являются объектами хакерских атак, поэтому никто от них не застрахован. Даже новая установка WordPress, на которой ничего нет, на ней мало трафика, и которая постоянно обновляется, все еще находится под угрозой.

В целом есть три основные причины взлома любого сайта: деньги, хактивизм и конкуренция.

Любой сайт это цель, независимо от того, насколько это цель большая. Причина в том, что WordPress сама по себе является такой популярной системой управления контентом (CMS), что это цель естественная. Хакеры могут создавать программу, обычно называемую ботами или хакботами, которая автоматически и систематически сканирует дыры в безопасности и одновременно атакует сотни тысяч сайтов. Чем больше сайтов, которые можно сканировать и атаковать, тем больше вероятность успеха для хакера.

Согласно отчёту W3Techs WordPress теперь используют 28% всех веб-сайтов в Интернет. Как следствие, есть миллионы сайтов, на которые могут быть нацелены хакеры. Такой объём сайтов в сети делает их крупной целью для взлома и не важно, большой у вас сайт или нет. Взломать могут любого.

Важно понимать, что безопасность WordPress максимальна, когда он поддерживается в актуальном состоянии, однако ни один сайт не защищен от проникновения на 100%.

Как хакеры взламывают сайты

При написании кода почти невозможно не создавать никаких дыр в безопасности. Когда хакеры находят эти уязвимости, они используют их, и вы становитесь уязвимым сайтом.

Существуют и другие способы взломов сайта. Например, человеческие ошибки, такие как использование легких паролей, которые легко угадать, а также небезопасный или ненадежный хостинг.

Давайте выделим ряд часто используемые и потенциальные уязвимости безопасность WordPress:

  • SQL Injection (SQLI) — возникает, когда SQL- могут вводиться и выполняться с URL-адреса сайта;
  • Межсайтовый скриптинг (XSS) — хакер может вводить код в сайт, как правило, через поле ввода;
  • Загрузка файла. Файл с вредоносным кодом загружается на сервер без ограничений;
  • Подпрограмма запроса на межсайтовый запрос (CSRF) — код или строки вводятся и выполняются с URL-адреса сайта;
  • Brute Force – Попытки постоянного входа в систему, методом угадывания имени пользователя и пароля учетной записи администратора;
  • Отказ в обслуживании (DoS атаки) — когда сайт падает из-за постоянного потока трафика, исходящего от хакбота;
  • Распределенный отказ в обслуживании (DDoS атаки). Подобно атаке DoS, за исключением того, что hackbot отправляет трафик из нескольких источников, таких как зараженные компьютеры или маршрутизаторы;
  • Open Redirect — возникает из-за уязвимости, перенаправления одной страницы на другую страницу, установленную хакером. Часто является спамом или фишинговым сайтом;
  • Фишинг (кража личных данных) — сайт или страница, созданная хакером, которая похожа на хорошо известный, общепринятый сайт, но используется для сбора учетных данных для входа в систему, обманывая пользователя для ввода их сведений;
  • Вредоносное ПО — вредоносный скрипт или программа с целью заражения сайта или системы;
  • Локальное включение файлов (LFI) — злоумышленник может контролировать, какой файл выполняется в запланированное время, установленное CMS или веб-приложение;
  • Обход аутентификации — дыра в безопасности, позволяющая хакеру обойти регистрационную форму и получить доступ к сайту напрямую;
  • Полное раскрытие пути (FPD). Когда путь к веб-сайту сайта раскрывается, например, когда видны листы каталога, ошибки или предупреждения системы;
  • Перечисление пользователей. Возможность определения действительного имени пользователя для последующего использования для атаки с использованием грубой силы. В конец URL-адреса сайта WordPress путем добавляется идентификатор пользователя. Этот приём может вернуть профиль администратора или автора с действительным именем пользователя;
  • XML External Entity (XXE) — XML-вход, который ссылается на внешний объект и плохо обрабатывается неправильно настроенным парсером XML;
  • Обход безопасности — аналогично обход аутентификации, за исключением того, что хакер может обойти существующую систему безопасности, чтобы получить доступ к некоторой части сайта;
  • Удаленное выполнение кода (RCE). Хакер имеет возможность выполнять произвольный код на машине или сайте с другого компьютера или сайта;
  • Включение удаленного файла (RFI). Использование ссылки на внешний скрипт на сайте с целью его использования для загрузки вредоносного ПО с совершенно другого компьютера или сайта;
  • Подделка запроса на стороне сервера (SSRF). Когда хакер может управлять сервером частично или полностью, чтобы заставить его выполнять запросы удаленно;
  • Обход каталога. Случаи, при которых HTTP может быть использован для доступа к каталогам сайта и выполнения команд за пределами корневого каталога сервера.

Хотя это не полный список уязвимостей WordPress, они являются наиболее распространенными способами взлома сайта с помощью бота. Одновременно могут быть использованы несколько уязвимостей.

Согласно отчётам наиболее распространенными проблемами безопасности являются XSS, SQL-инъекции и файлы для загрузки. Неправильно закодированные плагины также являются крупнейшим виновником и составляют 54% атак. За плагинами следуют уязвимость ядра WordPress и уязвимость тем.

Учитывая все вышеизложенное важно серьезно относиться к безопасности вашего сайта WordPress. Безопасность WordPress сайта всегда под угрозой.

К счастью, существует множество способов, которыми вы можете усилить безопасность своего сайта WordPress от простых советов до более сложных шагов, которые вы можете найти ниже. Я начну с основ.

Базовая безопасность WordPress

Безопасность WordPress сайта зависит, от безопасности вашего компьютера. Вредоносные программы и вирусы могут заражать ваш компьютер. Заражение может распространяться не только на ваш сайт WordPress, но и сотни тысяч других сайтов WordPress.

Существует множество способов обеспечить безопасность вашего компьютера, чтобы он стал более безопасным.

Вот основные советы, которые помогут вам повысить безопасность вашего компьютера и вместе с ним сайта WordPress:

  • Установите компьютерный антивирус, чтобы предотвратить вредоносное ПО и вирусы. Убедитесь, что программное обеспечение может очищать вредоносное ПО.
  • Настройте расписание регулярных антивирусных сканирований вашего компьютера, чтобы убедиться, что он не заражен.
  • Установите брандмауэр компьютера или включите его, если он включен в вашу операционную систему или ваш антивирус.
  • Не заходите в панель управления администратора или не заходите на свой сайт WordPress, если вы вошли в систему через общественный Wi-Fi или интернет-кафе. Ваши учетные данные можно отслеживать, или кто-то может следить за входом в ваши данные для своего входа.
  • Не входите в WordPress через незащищенное интернет соединение или незащищенную сеть.
  • Используйте надежный хостинг-провайдер, который имеет отличную репутацию в области безопасности и надежности.
  • Используйте только сильные пароли для своего сайта и заставляйте своих пользователей использовать надежные пароли.
  • Не разрешайте пользователям загружать файлы на ваш сайт или заранее внимательно изучайте их. Хакеры могут использовать права пользователя и загружать вредоносное ПО. Это также относится к загрузке изображений, таких как аватары, поскольку можно назвать вредоносный файл чем-то похожим на image.jpg.php, и он может проскользнуть через дыры безопасности.
  • Используйте протокол передачи файлов Secure (FTPS) вместо FTP, который небезопасен, чтобы предотвратить удаленный контроль или мониторинг вашего соединения.
  • В качестве альтернативы вы можете использовать протокол SSH File Transfer Protocol (SFTP) вместо FTP, поскольку первый также более безопасен.
  • Предоставляйте доступ администратора только тем, кого вы знаете и которым доверяете.
  • Аналогичным образом назначьте роль пользователя редактор только тем людям, которых вы знаете и которым доверяете.
  • Установите плагин безопасности.
  • Следите за поведением подозрительных пользователей.
  • Не давайте никому доступ к своей учётной записи на хостинге. Если необходимо предоставить сторонний доступ, создайте для них учетную запись с ограниченным доступом только к тому, что им нужно для доступа, и не более того.
  • Не выдавайте свои учетные данные FTP. Не создавайте учетные записи FTP для людей, которым вы не доверяете и не знаете.
  • Если вы в настоящее время не используете FTPS / FTP, удалите все активные учетные записи или отключите эту функцию до следующего раза, когда это необходимо, чтобы предотвратить кражу вашего соединения и учетных данных.
  • Часто делайте резервное копирование вашего сайта. Настройте планирование резервного копирования, чтобы предотвратить падение архивов резервного копирования.
  • Проверяйте самые последние резервные копии, чтобы они работали и включали всё, что нужно для восстановления сайта.
  • Периодически делайте резервное копирование резервных копий.
  • Всегда обновляйте WordPress до актуальной версии.
  • Точно так же обновляйте свои плагины, темы, скрипты.
  • Просмотрите код любого плагина, темы или скрипта, который вы используете, чтобы убедиться, что он хорошо закодирован. Обратите внимание на свои обзоры и посмотрите на любые затяжные проблемы безопасности, которые не были решены.
  • Не используйте плагины, темы с известными проблемами безопасности. Немедленно удалите их и сообщите разработчику.
  • Тестируйте плагины, темы на локальных серверах перед установкой и активацией их на реальном сайте.
  • Используйте сети доставки контента (CDN), чтобы предотвратить DoS-атаки и DDoS-атаки.
  • Установите и принудительно используйте SSL-сертификат для сайта WordPress.

Вывод

Можно много говорить про безопасность WordPress, можно вручную править файл htaccess защищая страницы входа, каталоги сайта, править файл configuration.php, внося в него строки безопасности. Для этого нужно опыт и знания. Проще и надёжнее установить серьёзный плагин безопасности или для полной надёжности, купить его платную версию.

Источник

(Всего просмотров 2)

Статьи по теме