Ваш сайт WordPress подвержен атаке?

В связи с пандемией резко возросла миграция потребителей в интернет-магазины. Как и риск кибератак.

В октябре прошлого года команда безопасности WordPress использовала внутреннюю функцию, чтобы подтолкнуть обновление безопасности к популярному плагину. Способность принудительно протолкнуть обновление была неизвестна многим, даже опытным разработчикам.

Ошибка, найденная в плагине Loginizer, который используется более чем миллионом сайтов, была отнесена к категории наихудших проблем безопасности, влияющих на плагин WordPress в недавней памяти, именно поэтому команда безопасности WordPress посчитала, что это действие необходимо.

Не все оценили активный подход WordPress, пользователи жаловались на форуме Loginzer и на сайте WordPress.org. Некоторые были удивлены, узнав, что можно даже обновить плагин с отключенными автоматическими обновлениями. Пользователи жаловались и в 2015 году, после того, как WordPress впервые использовала функцию принудительного обновления.

Похоже на то: Дайте вашему WordPress сайту возможность изменить его облик с помощью 80 премиальных маркетинговых обновлений.

WordPress решил протолкнуть исправление безопасности, чтобы предотвратить опасную ошибку SQL инъекции, найденную в плагине. Уязвимость могла позволить хакерам захватить сайты WordPress, используя устаревшие версии Loginizer, которые, по иронии судьбы, обеспечивают безопасность страницы входа в WordPress.

Обновление WordPress

Примерно через две недели WordPress выпустила релиз безопасности и обслуживания для ядра WordPress 5.5.2. Это обновление содержит десять исправлений безопасности, и WordPress рекомендует всем пользователям немедленно обновлять свои сайты.

По состоянию на 2016 год, WordPress работает около 34% из 1,2 миллиарда веб-сайтов в Интернете. Система управления контентом (CMS), WordPress является предпочтительной для веб-разработчиков базового и продвинутого уровня квалификации, в первую очередь, благодаря простоте использования. Благодаря такому большому количеству инсталляций она является постоянной мишенью для киберпреступников, а владельцы сайтов по всему миру стали жертвами непрерывной череды атак с применением грубой силы и других видов атак. Эти регулярные обновления безопасности от WordPress крайне важны для обеспечения безопасности и доступности этих сайтов.

Экосистема WordPress

WordPress не только привлекает гнусных хакеров, но и предпринимателей. Такие компании, как Astra, iThemes, Sucuri и Bullet построили свой бизнес на решении вопросов безопасности для владельцев сайтов WordPress.

Наряду с простотой использования этой популярной CMS приходит простая настройка. Независимо от того, какой тип сайта вы хотите построить, существует плагин для обеспечения готовой настройки. По последним подсчетам, WordPress.org перечислил более 58000 решений, но эти плагины и темы часто являются точкой входа для атак.

WordPress, плагины и темы чаще всего уязвимы:

Brute Force Attacks — ввод различных комбинаций имен пользователей и паролей до получения входа.

Cross-Site Scripting — хакеры заманивают жертв на сайт, содержащий вредоносные коды JavaScript.

File Inclusions — использование уязвимостей в PHP-коде WordPress.

Вредоносная программа — код, внедряемый на сайт для облегчения, например, несанкционированных переадресаций или разрешения высокоуровневого доступа к вашему хостинг-аккаунту.

SQL Injections — злоумышленники ищут незащищенные базы данных и получают доступ к ним с помощью MySQL-инъекций, что дает им контроль над всеми данными и позволяет создавать учетные записи администраторов или вставлять в базу данных контент, например, ссылки на другие сайты, содержащие вредоносные программы.

Почему ваш сайт WordPress находится под угрозой?

Большинство сайтов WordPress (все веб-сайты) являются уязвимыми, потому что разработчики веб-сайтов и их владельцы не используют передовые методы, когда речь идет о безопасности. Плохие пароли являются основной уязвимой точкой и быстро решаются, однако тысячи сайтов ежедневно нарушаются из-за слабых, легко угадываемых паролей.

Простые пароли

Чтобы предотвратить атаки грубой силы, создавайте сложные пароли, используя 12 и более символов, смешивая символы, буквы и цифры, и обеспечивая уникальность пароля для вашего WordPress сайта. Сделать это проще простого можно с помощью таких приложений, как LastPass и 1Password.

Нет аутентификации

Многофакторная аутентификация обеспечивает дополнительный уровень безопасности, который, если его добавить к другим лучшим методам, поможет удержать хакеров от доступа к вашему веб-сайту. Существует несколько приложений, таких как Google Authenticator для вашего мобильного устройства для проверки подлинности попыток авторизованного доступа.

Неиспользуемые плагины и темы

Другими точками входа для сайтов WordPress являются устаревшие плагины и темы. Хотя сайты работают быстрее с меньшим количеством плагинов, многие владельцы сайтов устанавливают плагины, пробуют их, а затем решают не использовать ту функцию, которую они предоставляют. Брошенные плагины оставлены, а обновления игнорируются. Со временем, сайты могут накапливать десятки неиспользуемых плагинов и тем.

Будьте осторожны при установке новых плагинов и тем. Всегда загружайте с надежных сайтов, таких как ThemeForest, CodeCanyon и WordPress.org. Используйте меньше плагинов, выбирая те, которые имеют несколько функций, а не несколько однофункциональных плагинов.

Удаляйте темы, заходя в свой хостинговый аккаунт или используя FTP-программу. Также проверьте базу данных на наличие сирот таблицы, созданных плагинами, которые вы больше не используете.

Нет плагина безопасности

Каждый сайт должен иметь плагин безопасности, и есть много хороших. Это ваша первая линия защиты, если хакеры попытаются получить доступ к вашему сайту. Вы часто найдете Sucuri, iThemes Security, All In One WP Security & Firewall, BulletProof Security, Jetpack, SecuPress, Cerber Security и Wordfence в десятке лучших списков наряду с другими менее известными опциями.

Нет безопасности хостинга

Многие хостинговые компании имеют функции безопасности, включенные или доступные в качестве дополнительной услуги. Настройка программного обеспечения (и плагина безопасности WordPress) для регулярного сканирования — не слишком частая задача, и она предупредит вас о любых аномалиях.

План резервного копирования

В то время как каждый владелец сайта должен следовать передовым методам безопасности, шанс взлома сайта все еще существует. Резервные планы являются отказоустойчивыми, когда все, что может пойти не так. Включите регулярное резервное копирование, основываясь на том, как часто вы вносите изменения на сайте. Если это ежедневная задача, создавайте ежедневные резервные копии. Храните их за пределами сайта и храните неделю на случай, если вы не обнаружите атаку сразу же, и вам нужно будет вернуться на несколько дней назад, чтобы найти чистую резервную копию.

Разработчики, стоящие за WordPress, неустанно работают над тем, чтобы сохранить сайты в безопасности, но владельцы должны взять на себя ответственность за то, чтобы их программное обеспечение было в актуальном состоянии, а пароли — в безопасности. Точно так же, как WordPress делает разработку сайтов легкой, она также сделала безопасность такой же простой. Устанавливайте обновления, используйте сложные пароли, добавляйте аутентификацию и создавайте резервные копии по расписанию, чтобы ваш сайт работал и зарабатывал деньги.