Через девятнадцать лет после создания, WordPress остается одной из самых популярных и широко используемых систем управления контентом (CMS) во всем Интернете. Более 60 процентов веб-сайтов созданы на платформе WordPress! Но такая популярность имеет свои недостатки, включая увеличенную подверженность взлому. Рассмотрим как исправить уязвимости WordPress.
Хакеры обожают взламывать WordPress. Фактически, 83% всех взломанных сайтов, основанных на CMS, построены на WordPress. В этой статье мы рассмотрим восемь распространенных уязвимостей WordPress и объясним, как справиться с каждой из них, чтобы защитить ваш сайт от возможных угроз.
Ненадежный хостинг
Хост — это серверный компьютер в Интернете, на котором хранятся файлы, обеспечивающие работу вашего веб-сайта. Если вы хотите, чтобы ваш сайт на WordPress был доступен в Интернете, вы должны разместить его на хостинге.
Одна из основных причин взлома сайтов на WordPress — это плохой хостинг. Согласно статистике, этот показатель составляет около 41%. Таким образом, почти половина всех случаев взлома сайтов на WordPress происходит из-за ненадежного хостинга.
Из вышеуказанных статистических данных можно сделать вывод, что использование надежного и безопасного хостинг-провайдера автоматически снижает вероятность взлома вашего сайта на значительный процент.
Ненадежные темы и плагины (найденные случайным образом)
Тема WordPress определяет внешний вид вашего сайта, а плагин используется для добавления дополнительных функций на сайт. Оба являются набором файлов, включая PHP-скрипты.
Поскольку темы и плагины состоят из кода, они могут содержать ошибки. Этот метод очень популярен среди хакеров, которые используют его для нелегального доступа к пораженным сайтам WordPress. Фактически, 52% уязвимостей связаны с плагинами, а 11% вызваны темами.
Хакеры могут вставлять вредоносный код в тему или плагин и публиковать его в интернет-магазине (еще чаще в бесплатном доступе). Если затем он устанавливается на сайте WordPress не подозревающим пользователем, сайт автоматически становится уязвимым, часто без ведома владельца.
Лучший способ избежать этих проблем — устанавливать темы и плагины только из доверенных и надежных источников.
Устаревшие темы и плагины
Кроме избеганий случайных плагинов и тем, необходимо также следить за тем, чтобы установленные на вашем сайте WordPress плагины и темы были обновлены до последней версии.
Это связано с тем, что хакеры часто ищут уязвимости в определенных темах или плагинах (или определенных версиях), а затем ищут сайты, использующие такие темы или плагины, и пытаются их взломать. Если им это удается, они могут проводить вредоносные действия на сайтах, такие как поиск данных в базах данных или даже внедрение вредоносного контента на сайты.
Чтобы получить доступ к установленным темам из панели администратора, перейдите во вкладку Внешний вид > Темы в боковой панели. Чтобы получить доступ к плагинам, перейдите во вкладку Плагины > Установленные плагины.
Обычно в панели управления WordPress появляется уведомление о необходимости обновления тем или плагинов на вашем сайте. Никогда не игнорируйте эти уведомления, если у вас нет на то веской причины. Так же рекомендую ознакомиться со статьей по настройке файла wp-config.php для обеспечения безопасности сайта.
Слабые пароли. Как исправить уязвимости WordPress
Слабые, легко угадываемые данные для входа — один из самых простых способов для хакеров получить доступ к вашей административной панели WordPress. Приблизительно 8% сайтов, построенных на WordPress, взламываются в результате слабой комбинации паролей или украденных паролей.
Хакеры часто используют скрипты перебора, чтобы итеративно проверять общие комбинации имени пользователя и пароля на как можно большем количестве сайтов WordPress. Они делают это до тех пор, пока не найдут подходящую комбинацию, после чего они входят в целевой сайт и перепродают учетные данные другим хакерам.
По этой причине вы всегда должны избегать использования общих имён, таких как user, admin, administrator и user1, в качестве вашего имени пользователя для входа. Вместо этого создайте имя пользователя, которое менее общее и более персональное.
Чтобы создавать сильные и безопасные пароли, следуйте следующим правилам:
- Никогда не используйте личную информацию (имя, день рождения, электронную почту и т. д.).
- Создайте более длинные пароли.
- Сделайте свои пароли максимально неясными и бессмысленными.
- Не используйте общие слова.
- Включите число и специальный символ.
- Никогда не повторяйте пароли.
Чтобы обезопасить свой сайт, необходимо указать комбинацию сильного имени пользователя (длинное и уникальное) и пароля уже при первоначальной настройке WordPress.
Кроме того, следует настроить двухфакторную аутентификацию (2FA), чтобы добавить еще один уровень безопасности для вашего сайта WordPress.
Рекомендую к просмотру старую лекцию по безопасности сайта на WordPress. UI/UX страниц настроек плагинов с тех пор изменился, но принцип по прежнему актуален.
Внедрение вредоносных скриптов
Вредоносное программное обеспечение (malware) — это злокачественный код, который хакер может вставить на ваш сайт и выполнять в любое время. Malware может быть внедрен разными способами. Он может быть внедрен через хорошо оформленный комментарий на сайте WordPress, или через загрузку файла на сервер.
В лучшем случае вредоносное ПО не вызовет проблем и может сделать что-то безобидное, например, показать рекламу продукта вашему клиенту. В этом случае вредоносное программное обеспечение можно удалить, используя плагин для сканирования вредоносных программ. Но в экстремальных случаях они могут выполнить опасные действия на сервере, что может привести к потере данных в базе данных.
Решение таких крайних случаев обычно включает восстановление вашего сайта из чистой резервной копии перед выяснением того, как хакер смог получить доступ к вашей системе и закрытием этой уязвимости. Поэтому очень важно регулярно делать бэкап своему сайту.
Фишинг
В фишинговой атаке злоумышленник отправляет электронное письмо с адресом, который выглядит так, как будто оно отправлено с вашего сервера. Обычно злоумышленник просит пользователя вашего сайта или клиента щелкнуть по ссылке, чтобы что-то сделать, что пользователь может сделать, не зная, что это на самом деле не от вашего сервера.
Часто злоумышленник показывает поддельную форму, которая выглядит идентично настоящей форме входа на ваш сайт. Часто пользователи вводят свои данные в такие формы.
В результате злоумышленник теперь имеет различные имена пользователей и пароли, чтобы осуществлять атаки методом перебора на других сайтах, а также точные данные для входа в систему пользователя на конкретном сайте.
Из-за того, как была изначально создана электронная почта, легко подделать адрес «от» электронного письма, что делает фишинговые атаки сложнее для остановки.
Однако в настоящее время технологии, такие как SPF, DKIM и DMARC, позволяют почтовым серверам проверять, откуда пришло электронное письмо, и проверять источник домена. Пока все они правильно настроены, все фишинговые электронные письма будут обнаружены сервером получателя и либо помечены как спам, либо полностью удалены из электронной почты пользователя.
Если вы не уверены, правильно ли настроены SPF, DKIM и DMARC, обратитесь к вашему хостинг-провайдеру. Большинство хостинг-провайдеров высшего уровня предоставляют простые инструкции по настройке этих параметров.
DoS и DDoS Атаки
Атака происходит, когда злоумышленник перегружает сервер веб-сайта неправильными запросами, что приводит к тому, что сервер не может обрабатывать нормальные запросы от легитимных пользователей. В WordPress кэширование помогает смягчить DDoS-атаки. Вы можете использовать плагины WordPress, такие как WP Fastest Cache на вашем сайте, чтобы защитить его от DDoS-атак. Кроме того, большинство лучших хостов имеют системы борьбы с DDoS, встроенные в их инфраструктуру.
Cross-Site Scripting (XSS)
Cross-site scripting — это еще один тип атаки инъекцией кода, и он похож на инъекцию вредоносного кода, о которой мы узнали ранее.
Однако в атаке XSS злоумышленник внедряет злонамеренные клиентские скрипты (JavaScript) на веб-страницы на фронт-энде сайта для выполнения браузером.
Злоумышленник может воспользоваться этой возможностью, чтобы выдать себя за посетителя вашего сайта (используя их данные) или отправить их на другой злонамеренный сайт, созданный для обмана пользователей.
Заключение. Как исправить уязвимости WordPress
Для обеспечения безопасности вашего сайта на WordPress вам нужно принимать активные меры по выявлению уязвимостей, которые могут использовать злоумышленники. В этой статье мы рассмотрели восемь уязвимостей.
Помните, что лучший способ уменьшить риски на вашем сайте на WordPress — это поддерживать все компоненты сайта в актуальном состоянии. Это включает плагины, темы и даже сам WordPress. Не забывайте также обновлять версию PHP.