Все, что нужно знать об атаке на WordPress — меры предосторожности

Атака сайта на Wordpress является самым распространенным явлением в интернете. Компаниям по безопасности удалось примерно посчитать количество проводимых атак, и цифра получилась следующая: 1500 сайтов на Вордпресс атакуются каждую секунду. Эта цифра должна говорить вам о том, что ни один сайт в сети не находится в полной безопасности. Если вы ведете низкопосещаемый блог на Wordpress и считаете, что такой сайт хакерам не нужен, то вы сильно ошибаетесь.

Для хакера не имеет значения, какой сайт атаковать. Ему не важен возраст сайта, тематика, размер, месторасположение и т. д. Основная масса сайтов взламывается с целью «подчинить» себе ресурс, подключив его в собственную ботнет-сеть. Для чего это нужно:

• рассылать спам от имени сайта;

• переадресовывать трафик сайта на свои ресурсы;

• размещать на сайте зловредный скрипт, который будет заражать браузеры или устройства пользователей сайта;

• использовать ресурсы сайта для хранения какой-либо информации;

• для любых собственных нужд.

   

Атака на Wordpress: безопасна ли эта CMS

Wordpress как система управления сайта считается безопасной и защищенной. Однако она находится на первом месте в списке самых взламываемых CMS. Многие задаются вопросом: почему так? Ответ не лежит на поверхности. Wordpress является самой популярной платформой; по разным подсчетам, 35-40% всех сайтов в мире работают на этой платформе, а это большая цифра в пересчете на количество. Поэтому Вордпресс атакуется чаще, чем другие платформы, а не потому, что у нее проблемы с безопасностью.

Разработчики Wordpress трепетно относятся к своему продукту. Любая новая выявленная уязвимость устраняется в кратчайшие сроки. Были случаи, когда с момента обнаружения уязвимости до ее устранения проходило не более часа.

Поэтому первым пунктом нужно вынести, что всегда необходимо вовремя обновлять Wordpress, чтобы не попасть под атаку хакеров. Как делают хакеры? Они рассылают своих ботов, «ищущих» сайты на Wordpress старых версий, для которых известны уязвимости. Найдя такие сайты, хакеры их атакуют, потому что знают, как это можно сделать. 

То же самое касается установленных плагинов на сайте. Если их не обновлять вовремя, то хакеры могут использовать известные уязвимости старых версий для атаки на сайт.

 

Атака на Wordpress: методы

Для хакера главное — найти уязвимость на сайте. Потом, исходя из этой уязвимости, он выбирает наиболее подходящий метод атаки, чтобы взломать сайт.

Атака Wordpress может быть осуществлена следующими способами:

• внедрение вредоносного скрипта на страницу сайта, чтобы скрипт запускался в браузере пользователей этого ресурса;

• SQL-инъекция — это манипулирование базой данных сайта, вплоть до ее полного уничтожения путем отправки специальных SQL-запросов через формы на страницах сайта;

• загрузка вредоносного кода в файле, если на сайте предусмотрена загрузка файлов;

• атака Wordpress перебором паролей для аккаунта администратора или пользователей;

• DDoS-атака — это способ «положить» север сайта, используя массовый трафик из ботов;

• кража личных данных — хакер может копировать страницу входа вашего сайта и подставлять ее вашим пользователям;

• редирект — когда трафик с вашего сайта переадресуется на другие ресурсы;

• внедрение вируса или вредоносного кода, который может совершать любые задуманные хакером действия;

• обход авторизации — когда хакер находит возможность проникнуть в веб-ресурс без авторизации;

• использование видимости пути к корневой папке, когда хакер может узнать расположение корневых папок, ошибки, предупреждения и т. д.;

• обход системы безопасности, когда хакер находит способы проникнуть в незащищенную часть сайта;

• и др.

На самом деле, список возможных способов атаковать сайт на Wordpress очень большой. Его пункты пополняются за счет проявления фантазии злоумышленников. Это похоже на игру в «догонялки», когда хакер находит способ атаки Wordpress, а разработчики его закрывают. Хакер опять ищет и обязательно находит, а разработчики Wordpress и этот способ закрывают, и так до бесконечности. Потому что программирование так устроено, что программисты не научились писать абсолютно безопасные программы. Все упирается во время. В течение какого-то времени к любой системе безопасности можно «подобрать ключи», будь то ваш личный блог на Wordpress или сайт Пентагона или NASA.

Другой момент, что сайт на Wordpress не всегда взламывается из-за платформы. Почти 50% взломов осуществляется через используемые темы или плагины. А это уже проблема не Wordpress, а хозяина ресурса и разработчика темы или плагина.

 

Атака Wordpress: требования к безопасности

Можно ли защититься от атак Wordpress? От всех — нет. Если хороший хакер поставит целью взломать ваш сайт, то он обязательно  это сделает хоть через год, хоть через пять. Другое дело, что можно защититься от нецеленаправленных атак. Это когда хакер рассылает бота, который будет искать распространенные уязвимости на сайтах, чтобы потом их атаковать. Если вы эти уязвимости «закроете», то от таких атак вы будете защищены.

Рекомендации по защите сайта на Wordpress:

1. Всегда вовремя обновляйте Wordpress, плагины и темы — это защита от самых распространенных угроз, потому как очень часто в обновлениях «зашивают» уязвимости программ.

2. Размещайте сайт на надежном хостинге, который обеспечивает качественную защиту своего оборудования и серверов.

3. Всегда используйте сложный пароль для входа в админ-панель сайта, а также определите минимальный уровень сложности для паролей пользователей.

4. Установите плагины защиты от популярных видов атак.

5. Если у вас на сайте предусмотрена загрузка файлов, тогда нужно ограничить размер загружаемых файлов, а также создать «белый список» форматов, чтобы пользователи загружали только допустимые.

6. Установите на сайт SSL-сертификат и перейдите на HTTPS.

7. Не заходите в панель администратора сайта в незащищенных сетях Wi-Fi. 

8. Регулярно делайте бэкапы сайта — это поможет в случае взлома и утери данных быстро его восстановить.

9. Если устанавливаете плагины и темы на сайт, то делайте это из числа тех, которые поддерживаются и обновляются автором.

10. Ограничьте размер комментариев на сайте. Также можете составить «черный список» символов, которые используются при составлении скриптов.

11. Ограничьте количество ввода неправильного пароля.

12. Установите ReCaptcha на сайт.

     

Заключение

Атака на Wordpress не осуществится, если правильно защитить свой сайт. Начните защищать сайт с базовых моментов:

• вовремя обновляйтесь;

• придумывайте сложные пароли;

• установите плагины комплексной защиты, которые сделают основную работу по защите за вас.

К таким плагинам относятся:

• KamaSpamBlock — защита от спама;

• Sucuri Security — комплексная защита сайта Wordpress от распространенных видов атак;

• Wordfence — плагин, который защищает практически от всех известных видов угроз;

• iThemes Security — функциональный инструмент комплексной защиты;

• All in One WP Security & Firewall — еще один инструмент комплексной защиты сайта и его базы данных;

• и др.

Помните, что хакеры тоже люди, поэтому ищут самые простые способы атаковать сайт. Если установить плагин комплексной защиты и следовать вышеописанным рекомендациям, то можно оградить свой сайт Wordpress от самых часто используемых атак.