Безопасность WordPress в фактах и статистике
WordPress уже стал привычной целью для вредоносных хакерских атак. Только в прошлом году было взломано более 170,000 сайтов и блогов, работающих на базе движка WordPress, и в 2013 году это цифра, вероятно, вырастет. Почему же так происходит, если WordPress считается очень защищенной платформой? Давайте-ка взглянем на статистику прошлого года и узнаем, является ли ваш WP следующей целью хакеров.
Изучаем статистику на чужих ошибках
Ниже приведена статистика собранная с 117,000 WordPress-сайтов, взломанных в прошлом году. И это только зарегистрированные случаи, а ведь, не о всех атаках сообщается, и не все они становятся публичным достоянием. Обычно, число WordPress блогов и сайтов, которым нанесен ущерб, в разы больше.
41 % процент сайтов был взломан по вине хостинг-провайдеров. Это значит, что хакер либо использовал уязвимость хостинга в своих интересах, либо воспользовался дырой в безопасности хостинг-провайдера, чтоб взломать WordPress блоги, расположенные на уязвимом хостинге.
29% сайтов было взломано из-за уязвимости WordPress-тем, которые использовались на этих сайтах. Другими словами, хакер определил слабое место темы, установленной на WordPress, и, использовав эту уязвимость, достиг своей цели – получил доступ к WordPress-сайту.
22% сайтов было взломано из-за уязвимости плагинов, установленных на WordPress. История совершенно такая же, как и в случае взлома через тему.
8% было взломано, потому что вход в админ-панель был защищен слабым паролем.
Как взломать WordPress сайт
Ознакомившись с фактами, давайте посмотрим, как можно легко взломать WordPress блог или сайт, с помощью бесплатного инструмента под названием WPScan.
WPScan – это сканер, который отыскивает уязвимости WP, сканируя CMS и выявляя слабые незащищенные места конфигурации. Запустив WPScan чтоб просканировать уровня безопасности WordPress, вы сразу же узнаете:
- Какая версия WordPress используется.
- Какая тема установлена. А так же, ее версию и прописанный к ней путь.
- Какие плагины установлены. А кроме того, их версии и прописанные к ним пути.
Вместе с WPScan вы так же можете использовать другие более продвинутые сканеры, например, те, которые предоставляют перечень пользователей WordPress-сайта, ставшего целью злоумышленников. Все это помогает хакеру взломать пароль WordPress, посредством грубой силовой атаки.
Благодаря этим сканерам, буквально за несколько минут хакер-вредитель может:
- Войти в админ-панель, если один из аккаунтов был защищен слабым паролем.
- Использовать хорошо известную уязвимость устаревшей версии WordPress, чтобы получить доступ к сайту.
- Использовать хорошо известную уязвимость плагина или темы, если использовались их устаревшие версии.
Как вы можете видеть, не так уж сложно определить проблемные места отдельного взятого WordPress и даже хакнуть сайт. Но опять же это не реальный сценарий. Обычно, у зловредных хакеров есть автоматизированные инструменты для «прощупывания» большого количества сайтов на наличие наиболее известных уязвимостей. И если, что-то обнаруживается, то эта дыра тут же используется для того, чтоб взломать сайт.
На самом деле взломать WordPress сайт или блог еще легче, чем вы себе представляете.
Что происходит во время хакерской атаки
Если злоумышленнику удалось получить доступ к вашему WordPress блогу или сайту, она или он, вероятно, воспользуется следующим списком приемов, чтоб скрыть следы своего пребывания на сайте и задержаться там подольше:
- Создание нового аккаунта с правами администратора
- Сброс паролей на нескольких аккаунтах, чтоб помешать другим пользователям зайти на собственный WP-сайт.
- Изменение роли существующего неактивного аккаунта
- Впрыскивание вредоносного кода в контент
- Изменение файлов WordPress, с целью повторного получения доступа к системе с помощью вредоносного кода, например, такого как бэкдор
- Создание редиректов в файле htaccess
Как защитить WordPress от хакерских атак
Как вы могли видеть, взломать WordPress-сайт весьма просто, но есть и хорошая новость – от взлома можно защититься. Оглянувшись назад и изучив факты, можно понять, что нужно сделать, чтоб начать повышать уровень защиты вашего сайта от хакерских атак:
- Прежде чем выбрать или сменить провайдера, есть смысл провести собственное маленькое расследование и собрать сведения о хостинг-провайдере: почитать форумы и узнать, что о нем думаю другие люди, блоггерская братия и администраторы WordPress.
- Прежде чем установить темы или плагин изучите их и убедитесь, что это регулярно обновляющиеся официальные продукты.
- Удалите или переименуйте аккаунт администратора по умолчанию.
- Используйте сильный пароль. Под сильным паролем я подразумеваю, такой пароль, который содержит не менее 8 символов, не образующих какое-либо слово и не являющихся кличкой вашей собаки. Пароль так же должен содержать символы нижнего и верхнего регистра, цифры и спецсимволы, например, !,&, ?
- Регулярно обновляйте темы, плагины и другое программное обеспечение до последних доступных версий и всегда используйте свежие патчи для защиты программного обеспечения от его поставщиков.
- Используйте плагин WP Security Audit Log для мониторинга активности сайта и пользователей. Этот плагин аналог Windows Event Log or Syslog для Linux/Unix: фиксирует все виды активности на вашем WordPress блоге или сайте.
- Если вы воспользуетесь приведенными выше советами, безопасность вашего WordPress в значительной степени повысится, и он будет защищен от самых широко распространенных и известных атак.
Продолжаем улучшать безопасность WordPress
Существует еще несколько мер, которые следует принять, чтоб еще больше обезопасить WP. Как я уже объяснил, описанное выше – это всего лишь базовые шаги, которые вы должны проделать, чтоб защитить свой сайт от самых печально известных и распространенных атак. Но, если бюджет позволяет, а WordPress – это основа вашего бизнеса, я бы рекомендовал продолжать работать над повышением безопасности, что позволит так же защитить ваш сайт от целевых атак.
Например, вы можете использовать двухфакторную аутентификацию на вашем сайте, защитить wp-admin, с помощью HTTP –аутентификации сразу после установки движка или пройти онлайн-курс по безопасности WordPress. Так же рекомендуется проводить регулярный профессиональный аудит безопасности WordPress, чтоб узнать, нет ли в безопасности дыр, которыми могут воспользоваться злоумышленники.
Поддерживаем уровень безопасности WordPress
Нельзя разово принять меры по повышению безопасности WordPress и на этом остановится, так как безопасностью сайта нужно заниматься постоянно. Те меры, которые вы принимаете сейчас и предпримите в будущем, могут повлиять и будут влиять на уровень безопасности вашего сайта. Но не стоит сразу впадать в уныние и думать, что теперь вам придется постоянно страдать, пытаясь обезопасить WordPress, так как в этом процессе нет ничего такого сложного. Грубо говоря, все, что нужно сделать, это включить здравую логику.