Как понять и подготовиться к обновлениям безопасности WordPress

Обновления доставляют хлопот.

Они прерывают наш рабочий процесс. Они появляются в наших уведомлениях снова и снова. Иногда они изменяют настройки вашей системы или даже вызывают проблемы совместимости с другими инструментами и приложениями. И, что хуже всего, они автоматически перезагружают ваш компьютер, пока вы транслируете финал сериала «Во все тяжкие». По крайней мере, для меня они сделали.

Несмотря на эти неприятности, в глубине души я знаю, что обновления важны. А если ваш веб-сайт построен на WordPress, обновления – это часть жизни – они много обновляются .

Среди наиболее важных из этих обновлений – те, которые решают их проблемы с безопасностью: WordPress, безусловно, является наиболее взломанной CMS, и 44% успешных атак на веб-сайты WordPress были вызваны устаревшим ядром WordPress.

Обеспечение скорейшей установки обновлений безопасности WordPress является краеугольным камнем обеспечения безопасности WordPress. Каждый администратор сайта WordPress должен понимать и применять их. В этой статье я расскажу, что составляет обновление безопасности в WordPress, как подготовиться к этим обновлениям и как их установить.

Обновления безопасности WordPress

Обновления безопасности WordPress исправляют ошибки, которые могут быть использованы для получения несанкционированного доступа к серверной части веб-сайта или информации пользователя. WordPress выпускает несколько обновлений, связанных с безопасностью, каждый год. В 2019 году их было четыре. Давайте рассмотрим несколько недавних исправлений, чтобы понять, что находится в обновлении безопасности WordPress.

WordPress 5.4.1 (апрель 2020 г.)

Последнее обновление безопасности содержит исправления семи проблем безопасности. Большинство этих ремонтов касается возможностей межсайтового скриптинга (XSS). XSS возникает, когда хакеры помещают вредоносный код в файлы веб-сайта, которые запускаются в этих файлах и наносят ущерб.

В частности, 5.4.1 исправляет уязвимости XSS с настройщиком WordPress, загрузку файлов, информацию, полученную из баз данных веб-сайтов, и блоки (в частности, блок поиска). Это обновление также исправляет уязвимости, которые потенциально позволяли злоумышленникам видеть ссылки для сброса пароля и личные сообщения.

См. Отчет Wordfence для более подробного технического обзора этих проблем.

WordPress 5.3.1 (декабрь 2019 г.)

Это обновление содержало множество общих улучшений ядра WordPress, в том числе исправления безопасности, которые решали проблемы с созданием неавторизованных прикрепленных сообщений через REST API WordPress и две потенциальные возможности XSS в редакторе блоков WordPress и с помощью «хорошо продуманных ссылок».

WordPress 5.2.4 (октябрь 2019 г.)

WordPress 5.2.4 содержит исправления для 2 возможностей XSS в настройках WordPress и тегов стиля HTML, а также проблемы, связанные с аутентификацией администратора и возможностью просмотра личных сообщений.

Вы можете просмотреть полную историю обновлений безопасности WordPress в их архиве категорий безопасности.

Насколько нам известно, большинство этих уязвимостей можно использовать только в очень специфических сценариях. Даже в этом случае злоумышленники постоянно ищут эти возможности, и всегда возможно, что они найдут более простые методы использования этих ошибок в будущем.

Как подготовиться к обновлениям безопасности WordPress

Перед установкой обновления безопасности WordPress (или любого обновления WordPress) вот некоторые другие действия, которые вы можете предпринять, чтобы поддерживать свой сайт в хорошей форме.

Регулярно проверяйте наличие обновлений безопасности

Рекомендуется регулярно проверять, чтобы ядро ​​WordPress, плагины и тема были обновлены до последних версий. Чтобы убедиться в этом, войдите в свою учетную запись, затем выберите «Панель управления»> «Обновления» на левой панели. Если есть доступные обновления, вы увидите круглый значок уведомления на кнопке «Обновления».

Источник

На странице обновлений сообщается, какие обновления готовы к установке, и когда WordPress в последний раз автоматически проверял наличие обновлений. Чтобы проверить вручную, нажмите Проверить еще раз.

Обновляйте свои плагины и темы

Скорее всего, вы дополнили настройку WordPress несколькими плагинами и оформленной со вкусом темой. Возможно, вы даже установили один или несколько плагинов безопасности WordPress, чтобы укрепить свой сайт.

При обновлении ядра WordPress очень важно убедиться, что ваша тема и все плагины совместимы с последней версией WordPress. В противном случае это может нарушить функциональность вашего сайта и подвергнуть вас потенциальным атакам: согласно WPScan, 52% успешных взломов WordPress связаны с плагинами, а 11% – с темами.

Если вы выбрали плагины с качественным обслуживанием и поддержкой клиентов, их обновление не должно быть проблемой. Просто установите обновления плагинов, когда они станут доступны. Если плагин некоторое время не обновлялся разработчиками, рассмотрите альтернативные варианты, которые постоянно обновляются. Это будет держать вас в безопасности сейчас и в будущем.

Точно так же обновляйте свою тему, чтобы предотвратить уязвимости. Вы можете проверить это на странице обновлений в разделе «Панель управления»> «Обновления». Опять же, если ваша тема не обновлялась долгое время, подумайте о замене ее на другую.

Укрепите свою безопасность другими способами

Между обновлениями вы можете защитить свой сайт другими способами. К ним относятся:

• Защита входа в систему: страница входа в систему – это входная дверь в вашу CMS, поэтому держите ее заблокированной с помощью надежных паролей. Неважно, какая у вас версия WordPress, если злоумышленник может угадать ваши учетные данные за 0,005 секунды.
• Регулярное сканирование безопасности: использование надежного плагина для сканирования вашего сайта на наличие вредоносных программ и других атак имеет решающее значение для обеспечения безопасности вас и ваших посетителей.
• Резервное копирование вашего сайта: Сохранение резервной копии ограничит потерю данных в случае атаки или если обновление пойдет не так. Многие плагины безопасности предлагают резервное копирование файлов.
• Используйте безопасный хостинг WordPress: выберите надежную службу хостинга, которая уделяет приоритетное внимание безопасному хранению вашей информации.

Как установить обновление безопасности WordPress

Есть два способа установить обновление безопасности в WordPress: автоматически или вручную.

Обновление автоматически

Самый простой способ установить обновления безопасности – попросить WordPress сделать их за вас. Большинство обновлений безопасности считаются второстепенными выпусками WordPress, то есть ваш сайт будет обновляться автоматически, если он включен.

В большинстве случаев автоматические обновления ядра WordPress являются безопасным вариантом и не вызывают проблем с функциональностью на вашем веб-сайте, если у вас также установлены последние версии ваших плагинов и темы.

Чтобы настроить автоматические обновления самостоятельно, следуйте инструкциям WordPress на их веб-сайте.

Обновление вручную

Автоматические обновления полезны, но необходимо установить более серьезные обновления, поскольку они с большей вероятностью вызовут проблемы совместимости с плагинами и темами. Вы также можете установить все обновления самостоятельно.

Самостоятельная установка обновлений безопасности выполняется быстро и легко с панели управления. Войдите в свою учетную запись и выберите «Панель управления»> «Обновления». Если обновление готово, нажмите «Обновить сейчас». Подождите несколько секунд, и у вас будет установлена ​​последняя версия.

В девяти случаях из 10 этот вариант в один клик работает. Если ваша установка WordPress очень индивидуальна, может потребоваться ручная установка, чтобы избежать проблем с совместимостью. Чтобы вручную установить новое обновление, следуйте инструкциям на сайте WordPress.

После самостоятельного обновления ядра WordPress убедитесь, что все ваши плагины и тема по-прежнему работают должным образом. Если вы используете хорошо поддерживаемые плагины и темы и регулярно обновляете их, это, скорее всего, не будет проблемой.

Помимо обновлений безопасности

На самом деле нет оправдания устаревшему сайту WordPress. Неудобство обновления ваших систем – небольшая цена за защиту и спокойствие.

Однако обновление ядра, тем и плагинов WordPress – это только одна часть головоломки безопасности. Несомненно, важная часть, но, безусловно, еще многое предстоит сделать. Полный список шагов по защите вашего сайта WordPress путем минимизации рисков и уязвимостей см. В нашем списке Ultimate WordPress Security Che cklist.

Источник записи: https://blog.hubspot.com