Главное Авторские колонки Вакансии Вопросы
49 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Безопасность WordPress: как не стать жертвой злоумышленников?

В этой публикации мы поговорим о том, какие существуют угрозы для безопасности WordPress, как от них можно защититься, а также сделаем краткий обзор WP-плагинов, повышающих безопасность сайтов на этой CMS.
Мнение автора может не совпадать с мнением редакции

В предыдущих публикациях мы неоднократно писали о WordPress, как о самой популярной CMS в мире. Эта опенсорсная система управления контентом сайта служит платформой для интернет-ресурсов любого масштаба: от standalone-блогов до корпоративных порталов. Однако открытый код и бесплатная базовая комплектация делают ее привлекательной не только для бизнеса и некоммерческих организаций, но и для злоумышленников, специализирующихся на взломах сайтов.

Основные угрозы безопасности WordPress

Все существующие методы взлома сайтов можно разделить на две группы: автоматические, осуществляющиеся автономными роботами и вредоносными программами, и ручные, предполагающие непосредственное участие хакера.

Автоматический взлом более распространен т.к. работает «по площадям»: как правило целью является не конкретный сайт, а широкий список, по которому работает вредоносное ПО. Подробнее о том, как защитить WordPress от DDoS-атак и ботов, мы уже рассказывали ранее в соответствующей статье. Ручной же взлом, как правило, нацелен на конкретных жертв и кроме «аппаратных» методов может допускать использование социальной инженерии.

Мотивов для взлома может быть очень много. Среди основных причин, по которым злоумышленники ломают сайты можно назвать следующие.

  1. Похищение сайта. База данных и все файлы сайта копируются и разворачиваются на новом хостинге и с другим доменным именем. Так злоумышленник может присвоить вашу интеллектуальную собственность.
  2. Мошенничество с помощью замены части информации на сайте, например — реквизитов, по которым с вами рассчитываются клиенты.
  3. Использование вашего сайта, как узла для расширения своей противоправной деятельности. Так, злоумышленники могут тайно настроить редирект на собственные ресурсы для повышения их трафика. Или — рассылать вашим пользователям письма со ссылками на вредоносные программы. А также отжирать ваши сетевые ресурсы для личных целей, среди которых может быть и взлом по цепочке других сайтов.

Теперь давайте скажем несколько слов о наиболее уязвимых для атак областях в работе с WordPress-сайтами.

  1. Ненадежный хостинг-провайдер. Если сервера, на которых размещен ваш сайт, плохо защищены от хакерских атак, а их владелец не делает бэкапов — есть риск, что однажды вы лишитесь своего детища. Чтобы избежать этого, необходимо тщательно выбирать хостера. В Максиплейс мы можем предложить вашему вниманию надежный хостинг для одной из самых популярных CMS в интернете — доступной, гибкой и легкой в настройке с семидневным тестовым периодом.
  2. Небезопасные шаблоны. Часто в бесплатных темах для WordPress силами злоумышленников обнаруживаются уязвимости, через которые в дальнейшем ваш сайт легко будет взломать. Частично застраховаться от этого можно лишь следя за репутацией поставщиков и, по возможности, прибегая к коммерческим решениям в области дизайна сайта.
  3. Уязвимые плагины. Также как и с шаблонами, источниками уязвимости могут выступать WordPress-плагины с сомнительной репутацией, скачанные из непроверенных источников. Еще большую опасность представляет собой копирование на сайт чистого кода неизвестного происхождения.
  4. Ненадежный пароль. Значительная часть сайтов взламывается в ручном или автоматическом режиме благодаря слишком простым или коротким паролям, чувствительным к взлому методами брутфорса или перебора.

Основные методы повышения безопасности сайта

Какие бы цели не преследовали злоумышленники, важно понимать, что более-менее надежную защиту от их происков может обеспечить лишь комплексный подход к настройкам безопасности. Так, хотя в зоне риска всегда будут находиться в первую очередь сайты, работающие на старых версиях WordPress или, например, использующие много постороннего кода, одна лишь своевременная установка обновлений и удаление сомнительных плагинов не смогут на 100% гарантировать вашу безопасность. Давайте подробнее рассмотрим какие меры необходимо предпринимать, чтобы защитить сайт на WordPress.

I. СВОЕВРЕМЕННЫЕ БЭКАПЫ

Самая радикальная и при этом надежная защита от всех проблем — грамотно настроенное резервное копирование вашего сайта. Даже если он все-таки будет взломан, вы в любой момент сможете поднять его из бэкапа снова. Главное не забывать, что в бэкапе должны быть не только файлы сайта, но и его SQL-база.

По возможности таких бэкапов должно быть несколько. Один хранится на самом хостинге и у надежных хостинг-провайдеров делается несколько раз в сутки в автоматическом режиме — как правило это регламентируется тарифным планом.

Остальные бэкапы должны храниться как оффлайн (на флэш-носителе), так и в облаке (облачный сервис, не связанный напрямую с вашим хостером) и обновляться несколько раз в неделю или несколько раз в месяц, в зависимости от скорости обновления информации на вашем сайте и, соответственно, чувствительности вашего бизнеса к потере данных за тот или иной отрезок времени.

Процесс создания бэкапов существенно облегчают надежные WordPress-плагины, среди которых имеет смысл выделить Duplicator, UpdraftPlus и WordPress Backup to Dropbox. Последние два позволяют автоматизировать резервное копирование сайтов на облачные площадки.

II. СОКРЫТИЕ СВЕДЕНИЙ О САЙТЕ

Информация о том, какой версией WordPress вы пользуетесь и какие у вас установлены плагины, может существенно сузить круг поисков уязвимостей для злоумышленников. Поэтому важной профилактической мерой является удаление этих сведений из публичного доступа. Как это делается?

  1. Убираем из корневого каталога файлы readme.html и license.txt;
  2. Проверяем примечания HTML-кода сайта: если в них упоминаются названия плагинов или номера версий — удаляем эту информацию;
  3. Проверяем, нет ли на сайте в открытом доступе личных данных его владельцев: электронная почта, телефоны, номера документов и т.д.;
  4. Используя директивы .htaccess, блокируем браузерный доступ как к этому конфигу, так и к install.php, wp-config.php и другим системным файлам, а также каталогам.

III. ЗАЩИТА АДМИНКИ WORDPRESS

Чтобы снизить риск получения злоумышленниками доступа к вашей WP-админке, можно прибегнуть к маскировке. Большинство ботов для автовзлома будут пытаться залогиниться через wp-login.php. Смена адреса доступа отсечет большую часть из них.

Также имеет смысл поменять стандартный логин «Admin» на какой-то другой т.к. под него в автоматическом режиме могут методом брутфорса подбираться пароли. Нужно создать новую учетку с менее очевидным именем, выдать ей права администратора, придумать сложный пароль, использующий сочетание цифр, орфографических знаков и букв разного регистра, а старую — удалить.

Кроме того, можно установить плагины, блокирующие подозрительные IP-адреса, с которых осуществляется попытка зайти в админку с помощью брутфорса и анализирующие уязвимости вашего шаблона, например — Login LockDown и Revisium WordPress Theme Checker.

В качестве радикальной меры можно вообще настроить белый список айпишников, с которых можно зайти в админку, однако следует помнить, что тогда у вас могут возникнуть сложности с доступом через VPN. Вообще, использование virtual private network — с одной стороны вещь, без которой часто бывает не обойтись в современном мире, с другой — палка о двух концах, т.к. ваши данные передаются через сторонние сервера, откуда в теории также могут быть похищены.

Через VPN работает большинство сервисов, предлагающих защиту Wi-Fi соединения в общественных сетях. Однако мы советуем по возможности не заходить в админку своего сайта при помощи соединения, которым пользуется кто-то еще, независимо от того, защищены они паролем или нет — огромный процент случаев взлома приходится именно на работу в публичных сетях.

IV. УСТАНОВКА SSL-СЕРТИФИКАТА БЕЗОПАСНОСТИ

Участники многих распределенных команд и фрилансеры часто не имеют доступа к проверенному Wi-Fi. Чтобы хоть как-то обезопасить заходы в админку сайта из неочевидных мест, необходимо использовать SSL-сертификат, чтобы передавать данные по защищенному HTTPS-протоколу.

В одной из публикаций мы уже подробно описывали процесс приобретения и подключения сертификата. Добавим здесь лишь, что в случае с WordPress делать это удобно с помощью специальных плагинов, например Really Simple SSL, который позволяет автоматизировать процесс активации сертификата, корректирует данные в .htaccess и заменяет все ссылки, содержащие HTTP на HTTPS. Также редирект с незащищенного протокола на защищенный можно настраивать с помощью плагинов WP Force SSL и Easy HTTPS Redirection.

В Максиплейс вы можете приобрести нужный SSL-сертификат с проверкой домена в течении 2-х минут по лучшей цене на рынке, что существенно повысит безопасность сайтов WordPress, которые вам принадлежат.

V. ПОДКЛЮЧЕНИЕ 2FA ДЛЯ ВХОДА В АДМИНКУ

Еще одна мера по защите админки WordPress от взлома заключается в дополнительной аутентификации по коду, приходящему на телефон владельца сайта в виде SMS-сообщения или push-уведомления. В этом случае, даже если злоумышленник смог подобрать логин и пароль, вход в админку для него все равно будет заказан.

Система 2FA также настраивается в WordPress с помощью плагинов, например Google Authenticator — Two Factor Authentication (2FA), Duo Two-Factor Authentication и Rublon Two-Factor Authentication.

Единственный ее недостаток состоит в том, что вы начинаете зависеть ее и от оператора сотовой связи и, если по какой-то причине на его стороне вам на мобильное устройство не будет приходить код, попасть в админку также будет проблематично. Кроме того, потеря или поломка sim-карты потребует ее перевыпуска для прохождения двухэтапной аутентификации.

VI. НАСТРОЙКА КАПЧИ ДЛЯ WORDPRESS

Еще одна достаточно популярная технология, отсекающая большую часть вредоносных ботов — это капча. Капчой принято называть специальный защитный код, который показывается в виде всплывающего окна или картинки. Хотя этому дополнительному способу аутентификации уже почти два десятка лет, он все еще достаточно эффективен для защиты от роботов. В WordPress капчой можно защищать форму регистрации, а также формы для ОС, комментариев и оформления заказов. Для установки капчи в WordPress можно воспользоваться как родными плагинами платформы, так и API, через которые капчу можно будет подключить из внешнего сервиса.

VII. УСТАНОВКА ОБНОВЛЕНИЙ WORDPRESS

Наиболее распространенная причина взлома сайтов на WordPress — уязвимости из старых версий, попавшие в открытый доступ. Соответственно, чтобы минимизировать этот риск, нужно регулярно устанавливать свежие обновления, в которых разрабы уже позакрывали эти дыры. Защита сайта на WordPress начинается с мониторинга выхода новых версий и скрупулезного отношения к апдейтам.

Однако здесь важно помнить, что самостоятельная корректировка кода WP-движка скорее всего заблокирует для вас возможность накатывать обновления. Поэтому, если вы хотите оставаться защищенным в этой плоскости, любые правки кода следует ограничить шаблонами и functions.php, главным файлом темы, в котором хранятся ее функции.

В любом случае обновление WordPress должно предваряться бэкапом т.к. нередки случаи, что под ново версией перестанут работать устаревшие плагины или что-то начнет отображаться не вполне корректно.

VIII. УДАЛЕНИЕ СОМНИТЕЛЬНЫХ ПЛАГИНОВ И КУСКОВ ЧУЖОГО КОДА

Платформа WordPress предлагает своим пользователям огромное число плагинов на все случаи жизни. В результате при долгом использовании этой CMS у вас может накопиться большое число плагинов, которыми вы давно не пользуетесь или которые устарели и перестали работать правильным образом. Важно регулярно проводить «расхламление» не только деактивируя, но и полностью удаляя все лишнее. Ведь избыточное число плагинов — это не только гарантия замедления работы сайта, но и риск получить куски кода от злоумышленников.

В целом же продвинутым специалистам можно посоветовать стараться заменять плагины, кроме самых необходимых, на чистые JavaScript и PHP-код. Однако важно или писать этот код самому или брать из надежных источников, чтобы не занести вирус.

IX. БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНОГО КОМПЬЮТЕРА

Как бы надежен ни был ваш хостинг-провайдер, и какими бы плагинами не был защищен сам сайт от атак, вы можете лишиться его, если точкой отказа станет машина, с которой вы заходите в административную панель, а то и в ISP-панель хостинга. Если вы сохраняете в cookies своего браузера логины и пароли, то злоумышленник, проникнувший в ваш персональный или рабочий компьютер, сможет с легкостью попасть всюду, где нет 2FA.

Чтобы избежать этой печальной участи, необходимо соблюдать базовые правила безопасности для ПК. Старайтесь использовать только лицензионное ПО и регулярно обновляйте его. Не запускайте никакие установочные файлы, полученные из сомнительных источников. Не пренебрегайте антивирусом и не отключайте брандмауэр. Используйте только надежные пароли; важно, чтобы они были разными для вашей учетной записи и разных сервисов. Не сохраняйте пароли в браузере, регулярно чистите кэш и т.д.

X. БЕЗОПАСНОСТЬ ЭЛЕКТРОННОЙ ПОЧТЫ

Еще одна потенциальная точка отказа — e-mail, на который зарегистрированы ваши профили в WordPress и кабинет у хостера. Если злоумышленники смогут взломать ее, они смогут сбросить пароли к FTP-серверу, домену, админке сайта, ISP-панели хостинга и т.д.

Чтобы избежать проблем, важно привязывать домен и хостинг к отдельному почтовому адресу, созданному специально для этих нужд. Адрес не должен быть публичным, не должен совпадать с вашими официальными контактами, чтобы потенциальный недоброжелатель вообще не мог узнать о его существовании. Важно заводить почтовый ящик у надежного почтового сервиса, например на том же Gmail, и также защищать с помощью 2FA. При обнаружении писем с подозрительными ссылками — не следует переходить по ним, также не следует открывать файлы во вложениях.

XI. СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ

Мы перечислили основные «технические» уязвимые для взлома места WordPress-сайтов. Осталось поговорить о человеческом факторе или, иначе говоря, группе методов взлома, известных под зонтичном термином «социальная инженерия». Вас не спасет никакая защита, если вы сами назовете злоумышленнику все необходимые данные и назовете номер кода подтверждения, пришедшего на телефон. Если вы являетесь владельцем сайта — старайтесь держать этот факт при себе и не пересылайте никому параметры, по которым к вашему сайту можно подключиться по FTP или логин-пароль от админки. Помните, что киберпреступники могут попытаться имитировать работу службы поддержки вашего хостера, вашего IT-отдела, представляться вашим начальником, правоохранительными органами и т.д. — ни при каких обстоятельствах не спешите сообщать третьим лицам данные для доступа к вашему интернет-проекту. Защита WordPress от хакеров начинается с вас самих.

Резюме

Поскольку львиная доля сайтов в интернете и по сей день работает на такой CMS, как WordPress, эта платформа за счет открытого кода является предметом интереса для киберпреступников всех мастей. Чтобы не потерять свой сайт и не получить репутационный и финансовый урон, необходимо придерживаться правил безопасности.

Одним из важнейших факторов безопасности WordPress, который важно отметить отдельно — репутация и методы защиты вашего хостинг-провайдера. Высокая квалификация инженеров Максиплейс — гарантия того, что ваш бизнес будет в надежных руках, если вы решите разместить его в нашем облаке. Воспользовавшись услугами нашей команды, вы можете быть уверены, что ваш сайт на WordPress будет надежно защищен от происков любых недоброжелателей.

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
Выбрать файл
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.