Безопасность сайта на Wordpress сегодня принимает катастрофически важное значение. Количество вебсайтов, выполненных на wCMS (веб-система управления контентом) WordPress близко к трети от всех созданных в мире. Имеются в виду вебсайты, созданные не вручную, только набором HTML-кода.
На сегодня, Wordpress лидирует среди других wCMS по количеству взломанных в мире сайтов. И невозможно сказать, что такой факт - следствие особых просчетов в безопасности системы. Как раз, наоборот, разработчики WordPress оперативно устраняют обнаруженные уязвимости и заботятся о достаточно серьезных паролях. Скорее, это следствие подавляющего преобладания WordPress как основы для разработки вебсайтов с динамическим содержимым.
Кораблю безопасней в порту, но он не для этого строился...
Грейс Хоппер
Распространеность WordPress набрала за счет легкости установки (знаменитая 5-минутная установка). А также лидирующей над конкурентами простоты размещения любого контента: текста, изображений, видео, аудио. Это же преимущество действует и как недостаток WordPress. Огромное количество новичков, устанавливают его впервые, не относясь серьезно к настройкам безопасности.
А автоматические боты, взломывают за пару недель, пусть даже пару месяцев такой эккаунт сайта на WordPress. После этого вариантов масса: взлом хостинга и тех, кто на нем еще находится, например. Рассылка спама, похищение адресов подписчиков и их данных, номера кредитных карточек. Организация взлома других компьютеров и распределенных DoS (DDoS) атак на сервера интернета и т.д.
Каждый день в мире взламывается 125 тысяч вебсайтов (16,755 миллиона в в год).
На сегодня существует 317 версий wCMS WordPress. каждая новая версия содержит исправления, дополнения или обновления, закрывающие обнаруженные уязвимости в безопасности.
Сайт WordPress.com получает 126 миллионов уникальных посетителей в месяц, на 30% больше, чем Amazon.com, но сотрудников у него всего 229 человек, в 390 раз меньше!
Больше 37 миллионов вебсайтов расположено на бесплатной платформе WordPress.com.
Каждый день в мире появляется 739 новых вебсайтов на платформе WordPress.
директоров фирм
считают недостачным уровень защищенности компании
компаний мира
столкнулись с различными утечками данных в 2019 году
Какие меры в 2020 году необходимо предпринять для защиты вебсайта на WordPress?
Если вы хотите получить реально работающий вебсайт на WordPress, о безопасности придется позаботиться.
Иначе заботиться будет просто не о чем.
Часто встречается мнение, что обычному сайту настройки безопасности необязательны. Мол, взламывают хакеры только те сайты, которые им потенциально интересны: банки, финансовые организации, раскрученные интернет-магазины и т.д.
Это - преступная ошибка! Кроме хакеров, абсолютно все вебсайты пытаются взломать боты в автоматическом режиме.
Постоянным взломом всех сайтов подряд занимаются спамеры, которые таким способом избегают уголовной ответственности. Во многих странах рассылку спама считают уголовным преступлением. Поэтому сервер, который уличили в систематической рассылке спама могут просто реквизировать как улику. Что дешевле: заплатить 500 долларов за аренду спам-сервера в Пакистане? Или бесплатно разослать спам со взломанного сервера?
Источник информации: Статистика уязвимостей WordPress
уязвимостей
позволяют проникнуть в вебсайт на WordPress, используя его ядро
Всего 17704 уязвимостей используют для проникновения 437 версий WordPress
уязвимостей
позволяют проникнуть в вебсайт на WordPress, используя его плагины
Всего 3742 уязвимостей используют для проникновения 2295 плагинов WordPress
уязвимостей
позволяют проникнуть в вебсайт на WordPress, используя его темы
Всего 410 уязвимостей используют для проникновения 329 тем WordPress
Самое первое действием, в только что установленном сайте на WordPress: удалить запись (пост) "Hello World!" .
По-важности, следует первым же действием сменить логин admin, но удалить пост быстрее. Вы можете гарантировать, что хакерский бот не попадет на Ваш вебсайт сразу же?
Притянуто за уши? со стороны кажется именно так. Но я пишу эту статью о безопасности вебсайта на WordPress именно после многолетней практики. У Вас бывало, что как только вы зарегистрировали доменное имя, Вам сразу же начинают слать спам индийцы с предложениями? Разработать Вам вебсайт с самым лучшим в мире дизайном. Гарантированно вывести ваш сайт в Топ Google за 200 долларов. А встречался хостер, сам рассылающий спам, т.к. его эккаунты взломаны или хостинг ему не так важен как спам-база?
Допустим, Вы забыли удалить первый пост, а тем более наберете их еще или получите вместе с демо-темой. И все-таки решили сменить пароль, а потом сменить логин? Т.е. сделать это не в том порядке, что я предлагаю. в таком случае, Вам придет заморочиться еще и со сменой принадлежности существующих записей на нового администратора. Ведь владельцем остался старый.
Поверьте, лучше сделать так как я советую, чтобы не мучаться, если вы в этом не очень разбираетесь и решили пойти собственным путем..
Пароль достаточной сложности должен содержать не менее 12 символов (лучше 14),. Пароль должен содержать: не менее 1 прописной, 1 заглавной буквы и одного специального символа (%, #, @ и т.п.). Кусками пароля не должны быть реальные слова, в том числе, записанные английскими буквами. Лично у меня есть методика, по которой я всегда храню в памяти около сотни (!) паролей. Правда я помню на память номер своей кредитной карточки... И автомата в армии, гдя служил еще 20-летним...
Есть еще некоторые пункты, которые не каждый профессионал расскажет в открытом доступе. Например, как полезно воспользоваться трафиком от тех, кто постоянно взламывает Ваш вебсайт.
Любое действие, перечисленное в моих рекомендациях этой статьи нашего блога о создании вебсайтов в Украине будет полезным.
Но, даже, если их выполнить все, полной гарантии это не даст. Почему? Об этом Вы прочитаете ниже.
Не секрет, что свои же сотрудники часто вредят компаниям по разным причинам. Кто из недовольства политикой компании. Кто из-за личных обид (обошли по работе, начальник - самодур, обидели зарплатой). А кто и просто из-за невежества, головотяпства, неосторожности. Последствия бывают разными: предоставление доступа посторонним и выкладывание конфиденциальной информации в общий доступ. Даже прямое вымогательство и нарушение работоспособности онлайн-ресурсов, уничтожение важной информации.
Стоит ли обращать внимание на потенциальную угрозу от действий ваших же сотрудников - решать Вам.
Просто знайте, что во всем мире ущерб от внутренних врагов вдвое больше, чем от внешних. Неправда ли, напрашивается прямая аналогия с нашествием фашистов и их пособниками в тылу врага? Одни - просто негодяи, а другие помогают им с капающей изо рта слюной и бьют в спину.
пользовательских данных
скомпрометированы сотрудниками случайно
внутренних утечек
инициированы сотрудниками низшего звена
утечек данных
происходит онлайн, обычно неограниченного объема
юридических лиц
считают сотрудников угрозой безопасности компании
Тем не менее, за последние 2-3 года хакеры резко активизировали свою деятельность по взлому компаний с крупным доходом. Средняя цена доступа к взломанным ресурсам в даркнете примерно 5 000 USD. Имеются предложения доступа к информации компаний с миллиардными доходами.
Хакеры из России, Украины и Литвы в преступной сети долгое время торговали даными банковских карт. Более 30 членов крупной банды проводили свои преступные действия в 11 регионах России. Хакеры взламывали учетные данные пользователей платежных систем. Затем продавали данные мошенникам через сотни анонимных онлайн-ресурсов для списывания с чужих счетов. В процессе задержания было офрмлено оружие, наркотики, фальшивые паспорта и удостоверения. Бонусом правохранители изъяли более миллиона долларов США и 3 миллиона российских рублей. слитки золота.
Для проверки не взломан ли Ваш вебсайт открыть ссылку ниже (откроется в новом окне). После этого введите в поле "Проверить сайт" название интересующего Вас сайта.
Проверка основана на информации поисковых роботов, сканирующих содержимое всех вебсайтов мира. как только найдено вредоносное программное обеспечение или спам-ссылки, информация об этом сохраняется в логах серверов google.com
Хотите, чтобы Ваш вебсайт был надежно защищен? Необходимо соблюдать очень много требований к безопасности вебсайта. Иначе, Вы рискуете потерять информацию, которую размещали много дней подряд. Не всегда получается выполнить все требования к безопасности сайта на WordPress. Очень многое зависит от правильного хостера. А иногда, банально не хватает времени на устранение потенциальных проблем.
А если непоправимое все же случилось? Проблем будет гораздо меньше, если Вы успели заранее позаботиться о надежном сохранении своей информации.
Не забывайте своевременно делать резервные копии!
А вот интересная ссылочка на теории и практику резервного копирования в юмористическом стиле "вредные советы": "Зачем бэкап, если есть RAID?".
„Только зануды делают резервные копии: настоящие мужчины просто закачивают все важное на ftp, позволяя остальным отзеркалировать это.“
Линус Торвальдс, Другие, Письмо в группу linux.dev.kernel
Мы рады, если Вы с пользой прочитали нашу статью. Если Вы считаете, что-то из сказанного неправильным, можете разместить комментарий ниже. Если она Вам понравилась - поделитесь ею в своей соцсети с друзьями!
1 Comments
Как указано в этой полезной статье о безопасности сайта на WordPress, 17% взломов приходится на уязвимости в плагинах. буквально на днях стало известно об уязвимости в популярном плагине Redux.
Redux приобрел популярность как page builder framework. Этот продукт позволяет разработчикам шаблонов для WordPress создать страницу в админской части с вынесенными настройками для облегчения работы новичков с настройками вебсайта. Redux используется более чем в 250 платных шаблонах для WordPress, более чем в миллионе установленных вебсайтов.
Похожая проблема уже всплывала в этом плагине, но была устранена и снова возникла. Уязвимость позволяет выполнять CSRF-атаки, получить контроль над вебсайтом при помощи логина администратора, не вводя правильный пароль.
А 16 декабря, уязвимость была обнаружена в другом плагине: Easy WP SMTP. Прямо в папке плагина сохраняется журнал, открытый для просмотра. А в нем при помощи REST API можно увидеть логин администратора, выполнить сброс пароля стандартным интерфейсом WordPress и в этом же журнале получить ссылку на активацию нового пароля. Т.е. стать администратором вебсайта со всеми вытекающими последствиями…
Рекомендую срочно обновить указанные плагины и доступные к обновлению имеющиеся.
Только 12 декабря 2020 г. в версии 4.1.24 ошибка в плагине Redux была полностью устранена.