Спустя 19 лет после своего создания WordPress остается одной из самых популярных и широко используемых систем управления контентом (CMS) во Всемирной паутине. Если говорить в цифрах, то более 60 процентов интернет-сайтов построены на базе WordPress!
Эта популярность имеет массу преимуществ, таких как большое сообщество разработчиков, обширный инструментарий, множество учебников и руководств. Но она также сопровождается и некоторыми недостатками. Один из них - повышенная восприимчивость к взлому.
Хакеры любят взламывать WordPress. Фактически, 83% всех взломанных сайтов на базе CMS построены на WordPress. Они любят находить уязвимости, которые можно использовать, и, к сожалению, в WordPress их достаточно много.
В этой статье я расскажу о восьми распространенных уязвимостях WordPress и объясню, как каждую из них можно устранить. Не стесняйтесь использовать следующие ссылки для перехода к каждому разделу об уязвимостях.
Плохой хостинг
Хост - это серверный компьютер в Интернете, на котором хранятся файлы, обеспечивающие работу вашего сайта. Если вы хотите, чтобы ваш сайт WordPress был доступен в Интернете, вы должны разместить его на хостинге.
Одной из основных причин взлома сайтов WordPress является плохой хостинг. Согласно статистике Kinsta, этот показатель составляет около 41%. Таким образом, почти половина всех случаев взлома сайтов WordPress происходит из-за плохого хостинга.
Из вышеприведенной статистики можно сделать вывод, что использование авторитетного и надежного хостинг-провайдера автоматически снижает вероятность взлома вашего сайта на значительный процент.
Одними из лучших хостинг-провайдеров для сайтов WordPress являются SiteGround, WP Engine, Hostinger и Bluehost. Прежде чем выбрать хостинг-провайдера для своего сайта, обязательно проведите тщательное исследование, чтобы выяснить качество предоставляемых им услуг, а также уровень удовлетворенности клиентов.
Случайные темы и плагины
Тема WordPress определяет внешний вид вашего сайта, а плагин используется для добавления дополнительных функций на ваш сайт. Обе темы представляют собой набор файлов, включая PHP-скрипты.
Поскольку и темы, и плагины состоят из кода, они могут быть заражены ошибками. Это очень популярный метод, который используют хакеры для получения незаконного доступа к затронутым сайтам WordPress.
Фактически, по данным Kinsta, 52% уязвимостей связаны с плагинами, а 11% - с темами.
Хакеры могут вставить вредоносный код в тему или плагин и опубликовать его на рынке в Интернете. Если он затем устанавливается на сайт WordPress ничего не подозревающим пользователем, сайт автоматически становится взломанным, часто без ведома владельца.
Лучший способ избежать этих проблем - устанавливать темы и плагины только из проверенных и надежных источников.
Устаревшие плагины и темы
Помимо отказа от случайных плагинов и тем, вы также должны поддерживать актуальность тех, которые установлены на вашем сайте WordPress.
Это связано с тем, что хакеры часто ищут определенные темы или плагины (или их версии), которые, как известно, имеют уязвимости. Затем они ищут сайты, использующие такие темы или плагины, и пытаются взломать их. В случае успеха они могут совершать вредоносные действия на сайтах, например, просматривать данные в их базах данных или даже внедрять на сайты вредоносное содержимое.
Чтобы получить доступ к установленным темам из панели администратора, перейдите в раздел Внешний вид > Темы на боковой панели. Чтобы получить доступ к плагинам, перейдите в Plugins > Installed Plugins.
Как правило, вы получите уведомление в приборной панели WordPress, когда придет время обновить любую из тем или плагинов, используемых на вашем сайте. Никогда не игнорируйте эти уведомления, если у вас нет на то веских причин.
Слабые пароли
Слабые, легко угадываемые учетные данные - один из самых простых способов получения хакерами доступа к бэкграунду WordPress. Около 8% сайтов, построенных на WordPress, взламываются в результате либо слабой комбинации паролей, либо кражи паролей.
Хакеры часто используют скрипты перебора для итеративной проверки распространенных комбинаций имен пользователей и паролей на как можно большем количестве сайтов WordPress. Они делают это до тех пор, пока не найдут совпадение, после чего входят на целевой сайт, а также перепродают учетные данные другим хакерам.
По этой причине вам всегда следует избегать использования таких терминов, как user, admin, administrator и user1 в качестве имени пользователя. Вместо этого придумайте имя пользователя, которое будет менее общим и более личным.
Для создания надежных и безопасных паролей следует помнить о некоторых правилах:
- Никогда не используйте личную информацию (имя, день рождения, электронную почту и так далее).
- Создавайте более длинные пароли.
- Делайте свои пароли как можно более непонятными и бессмысленными.
- Не используйте общеупотребительные слова.
- Включите цифру и специальный символ.
- Никогда не повторяйте пароли.
Чтобы обезопасить свой сайт, вы должны указать надежную комбинацию имени пользователя и пароля уже при первой настройке WordPress.
Кроме того, следует настроить двухфакторную аутентификацию (2FA), чтобы добавить еще один уровень безопасности к вашему сайту WordPress.
Наконец, рассмотрите возможность использования плагина безопасности, такого как Wordfence или Sucuri Security, чтобы предотвратить атаки грубой силы (и другие вредоносные атаки) для доступа к вашему сайту WordPress.
Инъекция малварей
Вредоносное ПО - это вредоносная часть программного обеспечения, которую хакер может вставить на ваш сайт и запустить, когда захочет осуществить свой план.
Вредоносное ПО может быть внедрено различными способами. Оно может быть внедрено через что-то простое, как хорошо отформатированный комментарий на сайте WordPress, или через что-то сложное, как загрузка исполняемого файла на сервер.
В лучшем случае вредоносная программа не вызовет никаких проблем и может сделать что-то столь же безобидное, как показать рекламу продукта вашему клиенту. В этом случае вредоносное ПО можно удалить с помощью плагина-сканера вредоносных программ, например Wordfence Security.
Но в крайних случаях вредоносная программа будет выполнять опасные действия на сервере, которые могут привести к потере данных в базе данных или к чему-то подобному, например, к созданию учетной записи на сайте WordPress.
Решение таких наихудших сценариев обычно предполагает восстановление сайта из чистой резервной копии, а затем выяснение того, как хакер смог проникнуть в систему, и устранение бреши. Вот почему резервное копирование сайта на регулярной основе очень важно.
Фишинг
При фишинговой атаке злоумышленник отправляет электронное письмо, используя адрес, который выглядит так, как будто он исходит от вашего сервера. Злоумышленник обычно просит пользователя вашего сайта или клиента нажать на ссылку, чтобы сделать что-то, что пользователь может сделать, не зная, что это не с вашего сервера.
Фишинговые атаки бывают разных типов, с такими названиями, как ”кошачий фишинг”, “фишинг копьем” и так далее. Независимо от типа, фишинг всегда включает в себя поддельный (но оригинально выглядящий) адрес электронной почты и ссылку на вредоносную страницу.
Часто злоумышленник отображает поддельную форму, которая выглядит идентично настоящей форме входа на ваш сайт. Если пользователь вовремя не спохватится, он может ввести один или несколько разных учетных данных для входа на вредоносный сайт.
В результате у хакера теперь есть разные имена пользователей и пароли для проведения атак методом перебора на других сайтах, а также точные учетные данные для доступа к бэкенду пользователя.
Из-за того, что электронная почта была изначально разработана, легко подделать адрес ”от” электронного письма, что делает фишинговые атаки немного более сложными для пресечения.
Однако в наши дни такие технологии, как SPF, DKIM и DMARC, позволяют почтовым серверам проверять, откуда пришло письмо, и подтверждать исходный домен. Если все эти параметры настроены правильно, все фишинговые письма будут обнаружены сервером получателя и либо помечены как спам, либо полностью удалены из почтового ящика пользователя.
Если вы не уверены, что SPF, DKIM и DMARC настроены правильно, обратитесь к своему хостеру. У большинства ведущих хостеров есть простые и понятные инструкции по их настройке.
Атаки на отказ в обслуживании (DoS и DDoS)
Атака типа ”отказ в обслуживании” происходит, когда злоумышленник заваливает сервер сайта плохими запросами, в результате чего сервер не может обрабатывать обычные запросы от легитимных пользователей.
В WordPress услуги кэширования помогают смягчить DDoS-атаки. Вы можете использовать на своем сайте такие плагины WordPress, как WP Fastest Cache, для защиты от DDoS-атак. Кроме того, большинство хостеров высшего уровня имеют встроенные в свою инфраструктуру системы защиты от DDoS-атак.
Межсайтовый скриптинг (XSS)
Межсайтовый скриптинг - это еще один вид атаки с внедрением кода, и он похож на внедрение вредоносного кода, о котором мы узнали ранее.
Однако при XSS-атаке злоумышленник внедряет вредоносные сценарии на стороне клиента (JavaScript) в веб-страницы на внешнем интерфейсе сайта для выполнения браузером.
Злоумышленник может использовать эту возможность, чтобы выдать себя за посетителя вашего сайта (используя его данные) или отправить его на другой вредоносный сайт, который он создал, чтобы обмануть пользователя.
Одним из наиболее эффективных способов предотвращения XSS-атак на ваш сайт WordPress является установка мощного плагина брандмауэра, такого как Sucuri, который вы также можете использовать для сканирования вашего сайта на наличие XSS-уязвимостей.
Заключение
Для обеспечения безопасности и надежности вашего сайта WordPress необходимо предпринимать активные шаги по выявлению уязвимостей, которыми могут воспользоваться злоумышленники. В этой статье мы рассмотрели восемь уязвимостей и предложили решение для каждой из них.
Помните, что лучший способ уменьшить уязвимости на вашем сайте WordPress - это поддерживать все компоненты сайта в актуальном состоянии. Сюда входят плагины, темы и даже сам WordPress. Не забудьте также обновить версию PHP.