5 проблем безопасности и уязвимостей WordPress, о которых вы должны знать
WordPress – самая популярная CMS в Интернете и, что неудивительно, самая взламываемая. В 2018 году 90% всех успешно взломанных веб-сайтов на базе CMS составляли сайты WordPress, что составляло около 90000 атак на веб-сайты WordPress в минуту.
Если вы используете WordPress, эти данные могут побудить вас рассмотреть альтернативу. Имеет смысл поставить под сомнение безопасность любой веб-службы – взлом тратит время, энергию и деньги. Это вредит вашему бизнесу и репутации в Интернете. Это подрывает доверие ваших пользователей. И, в худшем случае, это подвергает опасности пострадавших.
Невозможно количественно оценить количество угроз, с которыми любой веб-сайт может сталкиваться изо дня в день. Однако есть несколько конкретных вопросов, которые требуют особого внимания со стороны пользователей WordPress.
В этой статье мы рассмотрим 5 проблем безопасности WordPress, которые вам необходимо знать, чтобы защитить свой сайт WordPress. Для каждой проблемы я объясню, что в первую очередь делает WordPress уязвимым для этих проблем, а также как их предотвратить, чтобы вы могли чувствовать себя в безопасности, используя WordPress в качестве своей CMS.
Проблемы безопасности WordPress, о которых нужно знать
- Несанкционированный вход
- Вредоносное ПО
- Инъекции в базу данных
- Межсайтовый скриптинг
- Атаки отказа в обслуживании
Несанкционированный вход
Несанкционированный вход в систему обычно выполняется «грубой силой». При входе в систему методом перебора злоумышленник использует бота, чтобы быстро угадать миллиарды потенциальных комбинаций имени пользователя и пароля. Если им повезет, они в конечном итоге угадают правильные учетные данные и получат доступ к защищенной информации.
Этот процесс – зрелище (и это несколько пугает):
Почему сайты WordPress уязвимы
Есть две основные причины, по которым эти атаки успешно происходят на сайтах WordPress. Во-первых, страницу входа в бэкэнд по умолчанию для любого сайта WordPress легко найти. Просто возьмите основной URL-адрес сайта, добавьте в конец «/ wp-admin» или «/wp-login.php», и вы на месте. Если URL-адрес страницы входа остается неизменным, злоумышленники легко найдут эту страницу и попытаются выполнить вход методом грубой силы.
Но в случае несанкционированного входа в систему WordPress ответственность также ложится на пользователя WordPress. Соединив имя пользователя по умолчанию «admin» с простым общим паролем, у злоумышленников нет проблем с доступом к серверной части уязвимого сайта WordPress.
Что ты можешь сделать
Самая простая и эффективная защита от взлома методом грубой силы – это надежные пароли, которые хакерам сложно угадать, даже с использованием технологий, которые выглядят как что-то из Матрицы. В предупреждениях о слабых, предсказуемых паролях нет ничего нового, но многие до сих пор не понимают этого. Просто прочтите список самых распространенных паролей 2019 года от Nordpass и плачьте.
Позвольте мне показать вам, почему добавление небольшого количества сложности к вашим учетным данным является удивительно эффективным. В таблице ниже показано приблизительное время, необходимое алгоритму случайного перебора пароля для подбора пароля со скоростью около миллиарда в секунду, в зависимости от длины пароля и использования символов нижнего регистра (LC), символов верхнего регистра (UC), специальные символы (SC) и цифры.
Как показано, использование пароля с комбинацией типов символов и / или длины сделает попытку раскрытия грубой силы практически невозможной.
Хорошо, вы уверены, что надежные пароли действительно что-то делают. Но разве придумывать и запоминать все эти пароли сложно? Что ж, хорошо, что менеджеры паролей существуют. Эти удобные приложения сделают за вас все создание, запоминание и хранение.
Помимо надежных паролей, вы можете предпринять дополнительные меры для предотвращения нежелательных записей:
- Двухфакторная аутентификация требует, чтобы пользователи подтвердили свой логин на отдельном устройстве.
- Подумайте о том, чтобы избавиться от учетной записи WordPress с именем пользователя «admin» (первое, что догадаются хакеры) и создать новую учетную запись администратора с секретным именем пользователя.
- Несколько авторитетных плагинов WordPress могут ограничивать попытки входа в систему и добавлять капчи, чтобы пресекать атаки грубой силы в зародыше. Для получения дополнительной информации см. Наш Контрольный список безопасности WordPress.
Имейте в виду, что метод грубой силы применим везде, где требуется пароль, поэтому обязательно укрепите свои логины для любой информации, защищенной паролем. И не повторяйте их на страницах входа в систему и не оставляйте их лицевой стороной вверх на стикерах!
Вредоносное ПО
Вредоносное ПО – это широкий термин, включающий любое вредоносное ПО (отсюда «вредоносное ПО»). Хакеры могут размещать вредоносные файлы среди законных файлов веб-сайтов или внедрять код в существующие файлы для кражи с веб-сайтов и их посетителей, попытки несанкционированного входа через файлы «бэкдор» или посеять общий хаос.
Почему сайты WordPress уязвимы
Вредоносное ПО обычно проникает на сайты WordPress через неавторизованные и устаревшие темы и плагины. Хакеры пользуются проблемами безопасности в плагинах и темах, имитируют существующие или даже создают совершенно новые дополнения с единственной целью – разместить вредоносный код на вашем сайте.
Что ты можешь сделать
Во-первых, тщательно проверяйте каждый плагин и тему, которые вы устанавливаете на свой сайт WordPress. WordPress.com перечисляет полезную статистику для всех плагинов в их каталоге, как в примере ниже:
Выбирайте либо авторитетные бесплатные варианты, либо платные варианты, которые выполняют желаемую функцию. Эти плагины, вероятно, будут лучше поддерживаться и будут более безопасными, чем непроверенные плагины (держитесь подальше от них).
Те же правила применимы и к темам: не используйте только те темы WordPress, которые выглядят хорошо. Применяйте к своему сайту только темы, соответствующие стандартам WordPress для кода. Используйте валидатор W3C, чтобы проверить, безопасна ли тема для использования, вставив URL-адрес живой демонстрации темы в панель, и проверьте некоторые из тем WordPress, которые мы рекомендуем.
Затем не забудьте обновить плагины, темы и ядро WordPress (файлы, которые запускают базовые функции WordPress). Устаревшая функция WordPress с уязвимостями безопасности представляет собой прекрасную возможность для злоумышленников. Обратитесь к нашему руководству по обновлению ваших плагинов WordPress и инструкциям WordPress по обновлению WordPress.
Наряду с обновлениями мы рекомендуем удалить все плагины, которые вы не используете, и оставить только те, которые вам нужны. Каждый плагин, установленный на вашем сайте, увеличивает вероятность злонамеренного входа, поэтому, вероятно, лучше всего удалить тот случайный плагин классного виджета, который вы установили 3 года назад, но никогда не использовали.
Наконец, проводите регулярное сканирование безопасности, чтобы найти любые потенциальные вредоносные программы, скрывающиеся на вашем веб-сайте WordPress. Плагины здесь на самом деле ваши друзья: существует множество надежных плагинов безопасности, которые могут сканировать на наличие вредоносных программ и исправлять поврежденные файлы. Например, Defender by WPMU DEV включает сканирование на вредоносные программы и другие функции для предотвращения большинства других проблем из этого списка. Вы также можете увидеть больше опций в нашем списке рекомендуемых сканеров безопасности WP.
SQL-инъекции
С помощью SQL-инъекции хакер получает возможность напрямую просматривать и изменять базу данных веб-сайта. SQL – это язык программирования, используемый сайтами WordPress для управления базами данных, отсюда и название.
Поскольку веб-сайт – это, по сути, просто информация, извлеченная из базы данных и красиво отображаемая в вашем браузере, последствия такого рода атак мрачны. Злоумышленники могут использовать SQL-инъекции для создания новых учетных записей на серверной части веб-сайта, добавления несанкционированного и опасного контента и ссылок на отображение сайта, а также утечки, редактирования и удаления данных.
Почему сайты WordPress уязвимы
Злоумышленники чаще всего получают доступ к базам данных WordPress SQL в серверной части через формы отправки для посетителей, включая контактные формы, поля с информацией о платеже, формы для потенциальных клиентов и т.д. Конечно, хакеры не проявляют интереса к вашему контенту. Они отправляют код SQL, который после сохранения в базе данных фактически запускается и вносит изменения изнутри.
Что ты можешь сделать
Четыре слова: никогда не доверяйте вводу пользователя. Любая функция на вашем сайте позволяет посетителям отправлять информацию непосредственно в вашу базу данных SQL – это возможность для инъекции.
Решение? Отфильтруйте специальные символы в сообщениях пользователей, прежде чем информация попадет в вашу базу данных. Без символов вы превращаете строку вредоносного кода в безобидную тарабарщину. Подумайте об использовании плагина форм WordPress и / или плагина безопасности WordPress, чтобы сделать эту работу за вас. Подумайте о добавлении капчи в процесс отправки, чтобы роботы не предпринимали попыток.
Межсайтовый скриптинг
Межсайтовый скриптинг (XSS) происходит, когда злоумышленник помещает вредоносный код в серверную часть целевого веб-сайта. Атаки XSS похожи на инъекции в базу данных, поскольку злоумышленники пытаются внедрить код, который выполняется в ваших файлах. Однако XSS в первую очередь нацелен на функциональность веб-страниц.
Имея доступ к вашему интерфейсу, хакеры могут попытаться нанести вред посетителям, например, разместив замаскированную ссылку на неисправный веб-сайт или отобразив поддельную контактную форму для кражи информации о пользователе.
Почему сайты WordPress уязвимы
Опять же, виноваты здесь плагины и темы WordPress. Если злоумышленник обнаружит на вашей стороне устаревший или плохо обслуживаемый плагин, он может использовать его для доступа к файлам, которые определяют внешний вид вашего веб-сайта. То же самое и с небезопасными темами WordPress.
Что ты можешь сделать
Обновить, обновить, обновить! Всегда следите за тем, чтобы ядро WordPress, плагины и тема работали с их последними версиями, и будьте очень осторожны при установке любого стороннего программного обеспечения на свой сайт.
Еще один полезный инструмент для предотвращения XSS – это брандмауэр веб-приложений (WAF), который проверяет трафик и предотвращает проникновение неутвержденных посетителей в вашу систему из внешних сетей. WAF легко настраивать и поддерживать, поэтому мы рекомендуем просматривать авторитетные плагины WAF, чтобы защитить свой сайт WordPress от XSS, SQL-инъекций и других атак.
Атаки отказа в обслуживании
Атака отказа в обслуживании (DoS) направлена на то, чтобы заблокировать доступ администраторов и посетителей сайта к сайту. Для этого на целевой сервер отправляется такой объем трафика, что он дает сбой и закрывает все размещенные на нем веб-сайты. В конце концов, сервер и размещенные на нем веб-сайты восстанавливаются, но восстановить репутацию атакованных веб-сайтов может быть сложно.
Часто эти атаки проводятся с нескольких компьютеров одновременно (формируя ботнет ), что скрывает источник трафика и увеличивает объем спама. Это известно как распределенный отказ в обслуживании (DDoS), и это намного хуже.
Почему сайты WordPress уязвимы
Как и любому веб-сайту, работающим на WordPress, нужен хостинг. DoS- и DDoS-атаки нацелены на серверы, на которых размещены веб-сайты, а именно на серверы с ограниченной безопасностью.
Что ты можешь сделать
Не полагайтесь только на плагины для этого; Лучшая защита от DoS / DDoS-атак – это безопасный хостинг WordPress. Найдите надежного хостинг-провайдера, который соответствует потребностям вашего бизнеса и имеет репутацию серьезного отношения к безопасности.
Все мы знаем, что Интернет может быть пугающим местом, но это не значит, что мы не должны осознавать существующие угрозы и риски. Постоянная осведомленность о кибербезопасности – один из лучших способов защитить свое присутствие в Интернете, защитить рост вашего бизнеса и завоевать доверие клиентов. Оставайся там в безопасности!
Источник записи: https://blog.hubspot.com