WP ЭкспрессБезопасностьПлагиныПодборки плагинов

Как взламывают WordPress и что с этим делать?

Привет, друзья. Взломанный WordPress сайт – это один из самых страшных кошмаров его владельца, так как явление это неприятное и довольно часто встречающееся.

Эта статья возможно позволит вам избежать такого неприятного опыта и в ней мы рассмотрим, какие цели преследуют хакеры WordPress сайтов, самые распространенные способы получения доступа к сайту и возможные способы самозащиты. Не будет преувеличением сказать — обязательно к прочтению каждому владельцу ресурса на WordPress!

Зачем кто-то хочет взломать ваш сайт?

Владельцы мелких сайтов часто думают, что вряд ли их сайтами заинтересуется хакер, так как непонятно, зачем ему это нужно. Но, когда мы говорим о хакерстве, тут дело даже не в величине трафика, и не в популярности сайта, а в самой возможности взломать данный ресурс. Иными словами, любой даже не крупный сайт – это желанная цель для любого хакера, и любой сайт может попасть под данную раздачу.

Большинство хакерских атак автоматизировано. Одна из тех причин, по которым хакерам не важен размер сайта, заключается в том, что сайты взламываются автоматически.

Если вы думаете, что кто-то вбивает адрес вашего сайта в поисковую строку, и изучает его вдоль и поперек, пока не найдет уязвимость, вы сильно ошибаетесь. На самом деле, так же,  как и поисковые машины, хакеры используют ботов, чтоб облазить всю сеть. Но вместе того, чтоб индексировать контент, такие боты ищут уязвимости. Данная  тактика позволяет хакерам автоматизировать процесс и зачастую атаковать множество сайтов одновременно, что значительно повышает их шансы на успех.

Так что если ваш сайт ничем не примечателен, но его таки хакнули, значит, он просто появился на хакерском радаре, а не потому, что именно вас кто-то выбрал.

WPHACKS2

Но зачем им это?

Вопрос остается прежним: зачем хакеры вкладывают столько усилий в взлом сайтов? Естественно, если у вас интернет-магазин, на котором сконцентрировано много номеров кредитных карт, становится  понятно, что хотят получить хакеры. Но, если ваш сайт не содержит государственных тайн и кредитной информации, то зачем его взламывать?

Ответ прост — любой сайт может принести выгоду. Рассмотрим популярные способы использования взломанных сайтов:

  • Атаки Drive-by-downloads– хакеры могут использовать ваш сайт, чтоб инфицировать компьютеры ваших посетителей вредоносным программным обеспечением, которое собирают полезную для хакеров информацию.
  • Редиректы – иногда хакеры перенаправляют пользователей с вашего веб-сайта на другие веб-сайты, получая аффилированный доход.
  • Системные ресурсы – еще одна возможность – завладеть вашим сервером и использовать железо для рассылки спама или просто для более мощных атак.

Как взламывают WordPress?

Теперь давайте рассмотрим самые частые способы успешного взлома WordPress-сайтов. Согласно данным WP Template вот самые частые точки «входа» на сайт:

  • 41% сайтов взламывается из-за уязвимостей  хостинг платформы
  • 29% — из-за небезопасных тем
  • 22%  — из-за уязвимого плагина
  • 8% — из-за слабого пароля

Как вы видите, уязвимости хостинга тут на первом месте. Не обязательно, чтоб атака была направленно именно на ваш сайт, ваш сайт может оказаться взломанным, потому что хакнули сайт, который делит хостинг-пространство с вашим ресурсом.

Также тревожно, что более половины сайтов взламывается по вине уязвимых плагинов и тем. Теперь мы знаем обо всех основных уязвимостях WordPress, и пришло время с ними разобраться.

Как обезопасить свой сайт?

Банально звучит, но безопасность сайта целиком и полностью зависит от профилактических процедур, так как в любом деле профилактика – это лучшее лечение, и особенно это актуально для интернета. Основываясь на информации, данной выше, мы представляем вашему вниманию самые эффективные способы защиты вашего WordPress-сайт от хакерских атак.

Выбираем качественного хостинг-провайдера

Как вы поняли, хостинг провайдер играет важную роль в безопасности вашего сайта, так что выбираем провайдера с хорошей репутацией. Помимо поддержки последних версий PHP и MySQL, провайдер должны регулярно сканировать файлы на наличие вредоносного программного обеспечения и делать ежедневные бэкапы.

Также важно, выбрать хостинг провайдера, предоставляющего среду, которая оптимизирована под WordPress. Хотя с такими, в России например, большой напряг.

Регулярно делайте бэкапы

Даже если вы примите все необходимые меры, позволяющие максимально обезопасить ваш сайт, вам все равно никто не даст гарантии что вас никогда не взломают, так что резервные копии нужно делать регулярно в обязательном порядке. Вот вам инструменты, позволяющие решить проблему резервного копирования:

Бесплатные решения:

Платные решения:

Усильте данные авторизации

Слабый логин также может стать причиной взлома сайта, особенно, это актуально во время брутальной хакерской атаки, когда просто используется скрипт, который методом перебора определяет логин и пароль.

  • Регулярно, по графику, меняйте свой пароль
  • Старайтесь не использовать логин admin
  • Создайте надежный пароль (для этого можно использовать определить силы пароля, встроенный в WordPress, или сторонний сервис)
  • Сделайте так, чтоб другие пользователи тоже использовали надежные пароли
  • Храните пароли в надежном месте, типа RoboForm

Лимитируйте попытки авторизации, поступающие с одного и того же IP за определенное количество времени, используя плагины типа Login LockDown и Login Security Solution

Внедрение двухэтапной аутентификации – добавьте второй слой защиты, который можно пройти, только указав код подтверждения. Для этого можно использовать Duo Two-Factor Authentication, OpenID и Clef.

Скрыть страницу авторизации – переносим wp-admin и wp-login в другое место. Вы можете сделать это с помощью wp-login.php, HideLogin+ или Lockdown WP Admin.

Двигаемся дальше…

Добавляем SALTs в  wp-config.php WordPress защитные ключи были представлены в WordPress 2.6.Они представляют собой рандомные строчки кода, которые используются для кодирования информации, хранящейся в пользовательских куках.

Ключи входят в ваш файл wp-config.php, если вы видите это:

define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

Замените их кодом, сгенерированным WordPress SALT,и все будет выглядеть вот так:

define('AUTH_KEY',         'C?fNVfE;g#*06tu7?ayb:W0s~Dzc}_VTZp+Kh;7JYY.SO1s/-jkHD9(-E!@v86{Q');
define('SECURE_AUTH_KEY',  'Kg9?q=!wGrDPt[1#`|(<kT^_wCc.N@(G^-)%bLj)IL=#=8vdIi9 @Yp2/0{9 ^xs');
define('LOGGED_IN_KEY',    'AWX-tWCjS*5GlN602e[+@{jNA481wzn|L[m`-nq[tTETn!HB;k _}1.{[{=(-/=%');
define('NONCE_KEY',        'ye* ycLPX+o7MtA]1 xVrq`_Bfm+U)s1,6o*jH{TYbA^2~hK`]*6eyZZ/a]PP[Xa');
define('AUTH_SALT',        'n!{-,}i{6H?eK U`:yj^C%D-.o06.?m t==3P#WdS*Ete P}I|<C0Psb:07^hZ|~');
define('SECURE_AUTH_SALT', '2m3KYC,LMg>P,DS2Vy0n+#&.h! $90xucVQlUKYsA05`/tu+bF(BcBt/RMO-lH#H');
define('LOGGED_IN_SALT',   'zN<7UZU+T-+1jz}a=v,QqJWKtL|X*i<2PmiTa^TKE9VK$un? & FJ++paexCR?~/');
define('NONCE_SALT',       '`q!s~|c~XAwL)o|As*[Fefh|&8eb<JuQv~A:.UR5u*xPo_YZ}{[S*Gg$&~z3(aI2');

Задайте уникальный префикс таблиц

Еще при установке 5-минутная установка движка WP говорит вам, какой префикс БД использует WordPress. По умолчанию это — wp_ и хакерам конечно же известна эта информация, так что если оставим так, то наш сайт станет уязвимым для так называемых SQL-инъекций. Стоит поменять это на что-то более рандомное, например, k5ns7ue03ia933_

Когда вы устанавливаете новый сайт, то это просто сделать в процессе установки, но и на уже существующем сайте эту процедуру проделать тоже довольно легко. Самый простой способ – это использовать плагин iThemes Security или ему подобные, который сделает все за вас, достаточно просто нажать кнопочку.

Регулярно обновляйте WordPress

Понятно, что мы обновляем WordPress не только для того, чтоб получить новые функции, но и для того, чтоб избавиться от уязвимостей, которые присутствуют в устаревших версиях. Данный код поможет вам включить автоматическое обновления WordPress  в случае выхода крупных релизов.

define( 'WP_AUTO_UPDATE_CORE', true );

Скройте версию WordPress. По умолчанию WordPress добавляет мета тег, который показывает используемую версию движка, в «шапку» вашего сайта, что является уязвимостью. Вот код, который запретит WordPress это делать:

remove_action('wp_head', 'wp_generator');

Добавьте этот кусок кода в файл functions.php

Решаем проблемы с плагинами и темами

Хоть в половине случаев хакеры и использует уязвимости плагинов и тем для взлома сайтов, это конечно не повод пытаться отказаться от их использования. Чтоб минимизировать риски, вот вам несколько нчтрукций, которые научат вас обращаться с плагинами и темами:

  • Избавляемся от лишнего – убираем бесполезные плагины и темы, которые не выполняют важных функций. Этот шаг также поможет разогнать ваш сайт.
  • Регулярно обновляйте то, что осталось
  • Компоненты WordPress также необходимо обновлять, также как и ядро. Кроме того, если плагин не обновлялся в точении года, то от него пора избавляться.

Проверяем плагины и темы перед инсталляцией. Избегайте использования бесплатных тем и плагинов, взятых с сомнительных ресурсов. Я уж не говорю про так называемые варезные сайты. Перед установкой каких-либо компонентов, прогоните их сквозь Theme Check, Plugin Check и базу уязвимостей плагинов.

Другие тактики защиты сайта от хакерских атак

Отредактировать права управления доступом к файлам и папкам. Если эти права выставлены неправильно, то третьи лица могут получить доступ к файлам. Вот, как должно выглядеть в идеале:

755 или 750 для всех папок

644 или 640 для файлов

600 для wp-config.php

Отключить редактор плагинов и тем. WordPress-редактор позволяет пользователям вносить изменения в файлы прямо в админке, но это не только удобство, но и вред. Так что этот редактор лучше отключить и работать с файлами с помощью FTP-соединения.

Добавим этот код в wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Отключить PHP-отчеты

Если в плагине или теме произошла ошибка, то всплывет сообщение, которое содержит информацию о ваших директориях и системных файлах, которой могут воспользоваться хакеры. Чтоб их отключить, добавьте этот код в файл wp-config.php:

error_reporting(0);
@ini_set(‘display_errors’, 0);

Случается так, что ваш сайт уже взломан, но часто вы даже не в курсе, что вас взломали, так что если у вас появились какие-то смутные сомнения, то вы можете использовать следующие инструменты для обнаружения вредоносного кода.

В общемAntivirus-Alarm, DrWEB и 2IP могут просигнализировать о том, что есть проблемы с безопасностью

Вирусы — используйте AntiVirus, WP Antivirus Site Protection или веб-сервис VirusTotal.

СпамMX Toolbox просигнализирует вам о том, что ваш сайт попал в какой-либо черный список

Бесплатный сканер Sucuri просигнализирует, если на вашем сайте есть вредоносный код или проблемы с безопасностью. Кроме того, возможно, вы захотите попробовать одно из комплексных решений по защите WordPress, который, стоит отметить в завершение нашей статьи, в общем, довольно безопасная платформа сам по себе и по сравнению с другими.

По теме:

10 способов улучшить безопасность WordPress
SSL и HTTPS для WordPress
All In One WP Security — настройка безопасности

Похожие

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Back to top button