Безопасность сайта WordPress, защита от хакеров
Профилактика короновируса: соблюдай дистанцию (новые логотипы брендов)
17 апреля, 2020
Почему один вебсайт может выглядеть по-разному?
20 мая, 2020Безопасность сайта на Wordpress
Безопасность сайта на Wordpress сегодня принимает катастрофически важное значение. Количество вебсайтов, выполненных на wCMS (веб-система управления контентом) WordPress близко к трети от всех созданных в мире. Имеются в виду вебсайты, созданные не вручную, только набором HTML-кода.
На сегодня, Wordpress лидирует среди других wCMS по количеству взломанных в мире сайтов. И невозможно сказать, что такой факт - следствие особых просчетов в безопасности системы. Как раз, наоборот, разработчики WordPress оперативно устраняют обнаруженные уязвимости и заботятся о достаточно серьезных паролях. Скорее, это следствие подавляющего преобладания WordPress как основы для разработки вебсайтов с динамическим содержимым.
Кораблю безопасней в порту, но он не для этого строился...
Распространеность WordPress набрала за счет легкости установки (знаменитая 5-минутная установка). А также лидирующей над конкурентами простоты размещения любого контента: текста, изображений, видео, аудио. Это же преимущество действует и как недостаток WordPress. Огромное количество новичков, устанавливают его впервые, не относясь серьезно к настройкам безопасности.
А автоматические боты, взломывают за пару недель, пусть даже пару месяцев такой эккаунт сайта на WordPress. После этого вариантов масса: взлом хостинга и тех, кто на нем еще находится, например. Рассылка спама, похищение адресов подписчиков и их данных, номера кредитных карточек. Организация взлома других компьютеров и распределенных DoS (DDoS) атак на сервера интернета и т.д.
Каждый день в мире взламывается 125 тысяч вебсайтов (16,755 миллиона в в год).
На сегодня существует 317 версий wCMS WordPress. каждая новая версия содержит исправления, дополнения или обновления, закрывающие обнаруженные уязвимости в безопасности.
Сайт WordPress.com получает 126 миллионов уникальных посетителей в месяц, на 30% больше, чем Amazon.com, но сотрудников у него всего 229 человек, в 390 раз меньше!
Мировая статистика по WordPress на 2020 год
Больше 37 миллионов вебсайтов расположено на бесплатной платформе WordPress.com.
Каждый день в мире появляется 739 новых вебсайтов на платформе WordPress.
директоров фирм
считают недостачным уровень защищенности компании
компаний мира
столкнулись с различными утечками данных в 2019 году
Опасно для WordPress:
- оставить логин admin
- использовать простой пароль
- ссылка на посты автора по умолчанию
- использовать протокол XML-RPC
- не настроить .htaccess
- оставить показ списка файлов в папках сайта
- использовать shared хостинг
- оставить доступ к хостингу с любого IP
- оставить конфигурационный файл wp-config в папке по умолчанию
- использовать зараженную или сомнительную бесплатную тему WordPress
- использовать плагин под WordPress с уязвимостью
- не отключить отображение версии WordPress
- и многое другое...
Последние статьи:
Canonical URL это — SEO, что повышает ранжирование
Специальный тег canonical обращает внимание на каноническую (уникальную) страницу вебсайта как на главную из идентичных или похожих на нее. В противном случае вес страницы у поисковой системы снижается из-за большого количества дублей. В выдачу по определенному ключевому слову попадет совсем другая, не релевантная страница. А еще хуже, рейтинг вебсайта снизится, даже весь он может попасть под фильтр
Если вы хотите получить реально работающий вебсайт на WordPress, о безопасности придется позаботиться.
Иначе заботиться будет просто не о чем.
Часто встречается мнение, что обычному сайту настройки безопасности необязательны. Мол, взламывают хакеры только те сайты, которые им потенциально интересны: банки, финансовые организации, раскрученные интернет-магазины и т.д.
Это - преступная ошибка! Кроме хакеров, абсолютно все вебсайты пытаются взломать боты в автоматическом режиме.
Постоянным взломом всех сайтов подряд занимаются спамеры, которые таким способом избегают уголовной ответственности. Во многих странах рассылку спама считают уголовным преступлением. Поэтому сервер, который уличили в систематической рассылке спама могут просто реквизировать как улику. Что дешевле: заплатить 500 долларов за аренду спам-сервера в Пакистане? Или бесплатно разослать спам со взломанного сервера?
Статистика источников взлома вебсайтов на WordPress
Источник информации: Статистика уязвимостей WordPress
уязвимостей
позволяют проникнуть в вебсайт на WordPress, используя его ядро
Всего 17704 уязвимостей используют для проникновения 437 версий WordPress
уязвимостей
позволяют проникнуть в вебсайт на WordPress, используя его плагины
Всего 3742 уязвимостей используют для проникновения 2295 плагинов WordPress
уязвимостей
позволяют проникнуть в вебсайт на WordPress, используя его темы
Всего 410 уязвимостей используют для проникновения 329 тем WordPress
Обязательные настройки безопасности WordPress:
- удалить начальный пост "Hello, World!"
- сменить логин admin
- использовать безопасный достаточно защищенный пароль
- изменить ссылку на посты автора
- запретить протокол XML-RPC
- настроить файл доступа на вебсайт и в папки сайта .htaccess
- закрыть показ списка файлов в папках сайта
- закрыть доступ к хостингу со всех IP, кроме Вашего
- не использовать shared хостинг
- вынести конфигурационный файл wp-config из папки по умолчанию на уровень выше
- не использовать тему WordPress из сомнительных источников или взломанную
- удалить бесплатные темы WordPress, которые уже не нужны
- ограничить плагины WordPress только реально необходимыми, во многих плагинах со временем всплывают уязвимости
- отключить отображение версии WordPress
- после обновлений постоянно удалять все файлы .txt, свидетельствующие о текущей версии WordPress
- и многое другое...
Самое первое действием, в только что установленном сайте на WordPress: удалить запись (пост) "Hello World!" .
По-важности, следует первым же действием сменить логин admin, но удалить пост быстрее. Вы можете гарантировать, что хакерский бот не попадет на Ваш вебсайт сразу же?
Притянуто за уши? со стороны кажется именно так. Но я пишу эту статью о безопасности вебсайта на WordPress именно после многолетней практики. У Вас бывало, что как только вы зарегистрировали доменное имя, Вам сразу же начинают слать спам индийцы с предложениями? Разработать Вам вебсайт с самым лучшим в мире дизайном. Гарантированно вывести ваш сайт в Топ Google за 200 долларов. А встречался хостер, сам рассылающий спам, т.к. его эккаунты взломаны или хостинг ему не так важен как спам-база?
Допустим, Вы забыли удалить первый пост, а тем более наберете их еще или получите вместе с демо-темой. И все-таки решили сменить пароль, а потом сменить логин? Т.е. сделать это не в том порядке, что я предлагаю. в таком случае, Вам придет заморочиться еще и со сменой принадлежности существующих записей на нового администратора. Ведь владельцем остался старый.
Поверьте, лучше сделать так как я советую, чтобы не мучаться, если вы в этом не очень разбираетесь и решили пойти собственным путем..
Пароль достаточной сложности должен содержать не менее 12 символов (лучше 14),. Пароль должен содержать: не менее 1 прописной, 1 заглавной буквы и одного специального символа (%, #, @ и т.п.). Кусками пароля не должны быть реальные слова, в том числе, записанные английскими буквами. Лично у меня есть методика, по которой я всегда храню в памяти около сотни (!) паролей. Правда я помню на память номер своей кредитной карточки... И автомата в армии, гдя служил еще 20-летним...
Есть еще некоторые пункты, которые не каждый профессионал расскажет в открытом доступе. Например, как полезно воспользоваться трафиком от тех, кто постоянно взламывает Ваш вебсайт.
Любое действие, перечисленное в моих рекомендациях этой статьи нашего блога о создании вебсайтов в Украине будет полезным.
Но, даже, если их выполнить все, полной гарантии это не даст. Почему? Об этом Вы прочитаете ниже.
„... ни одна система безопасности не устоит против тупости собственных сотрудников.“
— Стиг Ларссон (Девушка, которая играла с огнём)
Кто вредит сайтам больше, хакеры или дураки?
Не секрет, что свои же сотрудники часто вредят компаниям по разным причинам. Кто из недовольства политикой компании. Кто из-за личных обид (обошли по работе, начальник - самодур, обидели зарплатой). А кто и просто из-за невежества, головотяпства, неосторожности. Последствия бывают разными: предоставление доступа посторонним и выкладывание конфиденциальной информации в общий доступ. Даже прямое вымогательство и нарушение работоспособности онлайн-ресурсов, уничтожение важной информации.
Стоит ли обращать внимание на потенциальную угрозу от действий ваших же сотрудников - решать Вам.
Просто знайте, что во всем мире ущерб от внутренних врагов вдвое больше, чем от внешних. Неправда ли, напрашивается прямая аналогия с нашествием фашистов и их пособниками в тылу врага? Одни - просто негодяи, а другие помогают им с капающей изо рта слюной и бьют в спину.
пользовательских данных
скомпрометированы сотрудниками случайно
внутренних утечек
инициированы сотрудниками низшего звена
утечек данных
происходит онлайн, обычно неограниченного объема
юридических лиц
считают сотрудников угрозой безопасности компании
Тем не менее, за последние 2-3 года хакеры резко активизировали свою деятельность по взлому компаний с крупным доходом. Средняя цена доступа к взломанным ресурсам в даркнете примерно 5 000 USD. Имеются предложения доступа к информации компаний с миллиардными доходами.
Хакеры из России, Украины и Литвы в преступной сети долгое время торговали даными банковских карт. Более 30 членов крупной банды проводили свои преступные действия в 11 регионах России. Хакеры взламывали учетные данные пользователей платежных систем. Затем продавали данные мошенникам через сотни анонимных онлайн-ресурсов для списывания с чужих счетов. В процессе задержания было офрмлено оружие, наркотики, фальшивые паспорта и удостоверения. Бонусом правохранители изъяли более миллиона долларов США и 3 миллиона российских рублей. слитки золота.
Как узнать взломан ли ваш вебсайт?
Для проверки не взломан ли Ваш вебсайт открыть ссылку ниже (откроется в новом окне). После этого введите в поле "Проверить сайт" название интересующего Вас сайта.
Инструмент Google "Безопасный просмотр: статус сайта"
Проверка основана на информации поисковых роботов, сканирующих содержимое всех вебсайтов мира. как только найдено вредоносное программное обеспечение или спам-ссылки, информация об этом сохраняется в логах серверов google.com
Минимизировать потери взлома вебсайта на WordPress?
Хотите, чтобы Ваш вебсайт был надежно защищен? Необходимо соблюдать очень много требований к безопасности вебсайта. Иначе, Вы рискуете потерять информацию, которую размещали много дней подряд. Не всегда получается выполнить все требования к безопасности сайта на WordPress. Очень многое зависит от правильного хостера. А иногда, банально не хватает времени на устранение потенциальных проблем.
А если непоправимое все же случилось? Проблем будет гораздо меньше, если Вы успели заранее позаботиться о надежном сохранении своей информации.
Советы по выполнеию резервного копирования
- выполняйте резервное копирование во время самой низкой нагрузки системы
- не делайте копирование всех баз одновременно, это снизит нагрузку на вебсайт
- при возможности, используте сжатие
- выполняйте дополнительное копирование данных после большого объема работ, не так обидно будет потерять сделанное
- при больших объемах данных, позаботьтесь о сочетании полного и инкрементного копирования
- сохраняйте данные не только на онлайн сервере, но и дубликаты на своем локальном компьютере, для надежности
- человек слаб и не может помнить все, позаботьтесь о скриптах копирования, привязанных к расписанию
- старайтесь минимизировать объем базы данных, обслуживать ее своевременно, это же увеличит быстродействие Вашего вебсайта
Не забывайте своевременно делать резервные копии!
А вот интересная ссылочка на теории и практику резервного копирования в юмористическом стиле "вредные советы": "Зачем бэкап, если есть RAID?".
„Только зануды делают резервные копии: настоящие мужчины просто закачивают все важное на ftp, позволяя остальным отзеркалировать это.“
Мы рады, если Вы с пользой прочитали нашу статью. Если Вы считаете, что-то из сказанного неправильным, можете разместить комментарий ниже. Если она Вам понравилась - поделитесь ею в своей соцсети с друзьями!
1 Comments
Как указано в этой полезной статье о безопасности сайта на WordPress, 17% взломов приходится на уязвимости в плагинах. буквально на днях стало известно об уязвимости в популярном плагине Redux.
Redux приобрел популярность как page builder framework. Этот продукт позволяет разработчикам шаблонов для WordPress создать страницу в админской части с вынесенными настройками для облегчения работы новичков с настройками вебсайта. Redux используется более чем в 250 платных шаблонах для WordPress, более чем в миллионе установленных вебсайтов.
Похожая проблема уже всплывала в этом плагине, но была устранена и снова возникла. Уязвимость позволяет выполнять CSRF-атаки, получить контроль над вебсайтом при помощи логина администратора, не вводя правильный пароль.
А 16 декабря, уязвимость была обнаружена в другом плагине: Easy WP SMTP. Прямо в папке плагина сохраняется журнал, открытый для просмотра. А в нем при помощи REST API можно увидеть логин администратора, выполнить сброс пароля стандартным интерфейсом WordPress и в этом же журнале получить ссылку на активацию нового пароля. Т.е. стать администратором вебсайта со всеми вытекающими последствиями…
Рекомендую срочно обновить указанные плагины и доступные к обновлению имеющиеся.
Только 12 декабря 2020 г. в версии 4.1.24 ошибка в плагине Redux была полностью устранена.