CityHost.UA
Помощь и поддержка

Как защитить сайт на WordPress и не стать жертвой уязвимостей открытого кода

 3762
05.06.2023
article

 

 

В мире интернета постоянно приходится выбирать между комфортом и безопасностью. Простой пароль более вероятно запомнится — но его легко подобрать; устанавливать скачанные из интернета программы удобно, но можно получить бонусом неприятный «сюрприз», на который ты не рассчитывал.

Так же точно дела обстоят с WordPress — это невероятно удобная система управления контентом (CMS или движок), упрощающая жизнь веб-мастерам. Больше не нужно писать код самостоятельно — достаточно купить хостинг и домен для сайта, установить CMS (теперь это можно сделать в пару кликов) и собрать веб-ресурс с помощью конструктора.. Но… Вы не знаете, кто выпускал «детали», насколько ответственно он работал, и не заложили ли туда злоумышленники несколько интересных функций, кроме тех, которые вам нужны.

В далеком прошлом, во времена первых компьютеров, у всех был знакомый парень, который приходил, ворчал «устанавливают себе все подряд» и чистил бесконечно заторможенный компьютер от вирусов. На самом деле, все мы можем быть таким парнем для нашего Вордпресса. Защита Wordpress — не такое уж сложное дело.

Читайте также: Что такое robots.txt и как настроить robots.txt для WordPress

Что такое Wordpress и почему он уязвим

Wordpress — это система управления контентом с открытым кодом. Она имеет некоторое количество начальных функций по умолчанию, а также три готовых темы (шаблоны сайта). Но желающие могут выпускать свои плагины (приложения, выполняющие на сайтах определенные функции) и темы (шаблоны).

Эти плагины и темы можно загружать из магазина и устанавливать. Также они существуют просто в интернете — например, можно загуглить запрос worpdress templates и получить кучу ссылок. Таким образом, хотя движок написан на языке PHP, его не обязательно знать, чтобы создать простую страницу. Сайт на Wordpress будет выглядеть профессионально и аккуратно, даже если его создавал не дизайнер и не разработчик.

Плагины Wordpress делают всё — совершенствуют SEO, собирают статистику, улучшают структуру сайта, привязывают платежные инструменты, встраивают видео, иконки соцсетей, форумы, облака тегов. По сути, все это можно делать, даже не открывая редактор кода сайта или пользуясь им по-минимуму. Очень многие плагины и темы бесплатные или условно бесплатные.

Но каждый такой плагин — это файлы с кодом, которые устанавливаются на сайт и получают к нему доступ. Никто не может гарантировать, что среди полезного кода, улучшающего вид и функциональность сайта, не скрыт фрагмент вредоносного — тот же вирус.

Читайте также: Вирусы на сайте — как их найти и защититься от заражения

Уязвимости Wordpress – откуда они появляются и чем угрожают сайту

Когда мы загружаем и запускаем тему или плагин, не знаем, что именно запустили. Далеко не все полезут в код проверять. А он может быть написан так, что злоумышленники сумеют найти уязвимость и внести свои коррективы, взломать Wordpress и использовать сайт для нечестных целей. Например, проблемы возникают из-за некорректно прописанной очистки данных — когда в базу данных, содержащую чувствительную информацию, попадает то, что там не должно быть. Тогда злоумышленники могут сделать так называемую «инъекцию», встроив вредоносный код. Существует много слабых мест, из-за которых можно относительно легко взломать сайт на Wordpress.

Вредоносный код может:

  • содержать вирусы и другое вредоносное ПО;

  • сбрасывать пароль администратора и получать доступ к информации;

  • способствовать фишингу – и это уже напрямую приведет к потере денег и репутации, если речь идет об интернет-магазине;

  • производить автоматическое перенаправление на какие-то сайты, накручивать просмотры;

  • использовать ресурсы сайта для организации DDoS-атак, встраивая в него соответствующие вирусы, и многое другое.

Для понимания: только за одну неделю в течение апреля 2023 было выявлено 70-80 уязвимостей в темах и плагинах, которые затрагивали сайты на Wordpress в численностью  несколько миллионов.

Недавно обнаруженные уязвимости Wordpress

Уязвимости Вордпресса выявляют регулярно. Вот новость из thehackernews.com за 6 мая — невинный плагин для создания кастомных полей в страницах Wordpress содержал уязвимости, приводящие к рефлектированному межсайтовому скриптингу. Это тип атаки, которая заключается в рассылке вредоносного кода пользователям, после чего их браузер выполняет несанкционированные действия, например, злоумышленники могут воровать секретную информацию. Рефлектированная атака требует, чтобы пользователь перешел по ссылке, которая выглядит как надежная. Вот почему его пытаются рассылать по электронной почте или встраивать на страницы нормальных сайтов — в том числе с помощью уязвимостей в плагинах Wordpress.

А вот популярный плагин Essential Addons для Elementor содержит уязвимость CVE-2023-32243, позволяющую злоумышленнику сбросить пароль и захватить сайт.

Уязвимость самого движка использовали другие злоумышленники, заражающие сайты своим вредоносным кодом и перенаправляющие пользователей на другие, мошеннические страницы, чтобы накручивать просмотры рекламы в Google Ads. Такие просмотры приносят деньги, поэтому выгода очевидна. Об этом пишет Itc.ua.

Словом, безопасность сайта на Wordpress — вопрос важный, поэтому давайте перейдем к практическим шагам, которые помогут спасти ваш сайт от неприятностей.

Читайте также: Где хранится база данных в WordPress

Сканеры уязвимостей: используем онлайн-сервисы для проверки сайта

Поскольку сайт на Wordpress по умолчанию будет иметь уязвимости, странно было бы не научиться их выявлять. Для этого существуют многочисленные сервисы, как бесплатные, так и с дополнительными функциями за определенную оплату. 

Уязвимости Вордпресс ищут:

  • Hacker Target WordPress Security Scan тестирует весь сайт, начиная от определения CMS сайта, тем, плагинов, необходимости обновлений, проблем с пользовательскими записями;

Как найти уязвимости Wordpress — Hacker Target WordPress Security Scan

  • Scanurl покажет репутацию сайта в сети: пройдет ли он Google Safe Browsing, имеет ли негативные оценки, в частности в WebTrust, помечал ли его кто-то как опасный;

  • Sucuri Website Malware и Security Scanner. О компании Sucuri мы только что говорили в контексте поиска уязвимостей, и вот ее продукт — ищет все скрипты на сайте (пригодится тем, кто разбирается в скриптах и увидит те, которые не ставил), проблемы файервола, наличие сайта в черных списках и т.п.;

  • UpGuard не просто сканирует, а выдает результаты в геймифицированной форме. Он будет искать и вредоносный код, и проблемы с антивирусной защитой, и многое другое.

Защита Wordpress будет более надежной, если выбранным сканером вы будете пользоваться хотя бы раз в месяц.

Как защитить сайт на Wordpress от взлома — пошаговая инструкция

Как видим, взломать Wordpress вполне реально. Но это не значит, что им нельзя пользоваться. Во-первых, когда проявляют уязвимости, разработчики плагинов и тем делают для них так называемые патчи — код, закрывающий «слабое место». Во-вторых, риски можно значительно снизить, если принимать меры безопасности.

Безопасность сайта на WordPress: защита админки

Большинство уязвимостей, позволяющих перехватить контроль над сайтом, направлено на сброс пароля администратора и установку нового. Чтобы избежать этого:

  • установите двухфакторную аутентификацию. Эту функцию предлагают некоторые плагины безопасности Jetpack, Wordfence. Есть и отдельные плагины специально для этого, в частности Google Authenticator. Он предлагает установить вторую стадию входа после ввода пароля — ответ на секретный вопрос, код из смс и т.п.;

Защита Wordpress с помощью Google Authenticator

  • ограничьте количество попыток ввода пароля. Это можно сделать тоже с помощью плагинов — в частности, Loginizer, Limit Login Attempts. Надо установить один из этих плагинов и выбрать в настройках количество попыток;

  • создавайте отдельные учетные записи для редакторов и контент-менеджеров, ограничив их права необходимыми для работы с контентом.

Читайте также: Как защитить свой аккаунт в Cityhost во времена информационной нестабильности

Выбирайте проверенные темы и плагины Wordpress

Плагины Wordpress и темы очень удобны в использовании. Но важно выбирать те, которые с меньшей вероятностью будут уязвимы.

Используйте проверенные плагины и темы. Сама компания Wordpress предлагает доверять тем плагинам и темам, которые вы загружаете из ее магазина. Лучше выбирать популярные плагины, и те, которые часто обновляются.

Не забывайте обновлять плагины и версию Вордпресс

Ответственные разработчики, как правило, регулярно проверяют свои продукты на уязвимости Вордпресса. Когда уязвимость находят, ее чинят с помощью патча. Чтобы защитить Wordpress:

  • регулярно обновляйте плагины: если в них была уязвимость, то в последующих версиях ее, скорее всего, починят;

  • регулярно обновляйте саму систему Wordpress: новые версии тоже более защищены.

Безопасность Wordpress: установите специальные плагины безопасности

Каждый плагин безопасности имеет свой набор функций, они бывают разные, и приходится выбирать, как защитить Wordpress. Ведь устанавливать слишком много плагинов — вредно для скорости сайта. Одни плагины сканируют сам сайт, другие могут бороться только с определенными последствиями взлома — например, не позволят сбросить пароль или вовремя сделают бекап сайта.

безопасность сайта на wordpress — плагин Sucuri

Вот несколько вариантов, которыми можно воспользоваться:

  • Sucuri в бесплатной версии позволяет тестировать файлы сайта, также способен защищать от DDoS-атак, сканировать на вирусы, поддерживать сертификат безопасности и т.п.;

  • All in One WP Security & Firewall — содержит файервол, как следует из названия, но также предлагает много удобных функций для усложнения взлома сайта — блокировка IP-адреса, если пароль был несколько раз введен неверно, сообщение, когда какие-то файлы сайта изменяют, доступ в админпанель только в установленное рабочее время, логирование посещений, капчу для усложнения подбора пароля, черный список файлов и многое другое;

  • Loginizer блокирует пользовательский адрес, с которого неверно ввели пароль;

  • Jetpack разработан Wordpress специально для защиты сайтов на этом движке. Он сканирует на вирусы и черви, мониторит трафик и все изменения на сайте, отсекает спам. К тому же, этот плагин имеет функции для оптимизации сайта, собирает статистику, предлагает удобные функции для электронных рассылок и соцсетей;

  • Wordfence сканирует файлы сайта на целостность и безопасность, мониторит трафик и сообщает о DDos-атаки, а также предоставляет файервол, который останавливает попытки взлома, защищает от сканирования хакерами, ботнета, вредоносного трафика и т.д. К тому же плагин позволяет найти на сайте вредоносные и фишинговые ссылки, если они появились.

Плагинов безопасности немало, но стоит искать популярные, которые регулярно обновляются и предлагают больше функций одновременно.

Защита сайта: общие советы

Безопасность сайта на Wordpress также зависит и от выполнения общих правил, уменьшающих вероятность заражения вирусами. Следует администрировать его с проверенного и защищенного компьютера, регулярно сканировать компьютеры всей команды. Также стоит:

  • своевременно делать бекапы;

  • установить хороший, сложный пароль и регулярно изменять его;

  • устанавливать уникальные логины для всех, кто работает с сайтом. Можно даже удалить аккаунт admin, предварительно создав другой аккаунт с правами администратора. Это можно сделать через пункт меню «Пользователи» (Users). У каждого пользователя при наведении появляется такая опция.

Также важно установить на сайте SSL-сертификат и перейти на протокол https. Дело в том, что по умолчанию все обмены данными в интернете открыты (протокол http), что позволяет злоумышленникам «вклиниться» между сервером и браузером пользователя и украсть чувствительную информацию или перенаправить его. SSL-сертификат — это своеобразный электронный паспорт, разрешающий обмен данными только после того, как установлено зашифрованное соединение. Одновременно он показывает, что по ссылке пользователь идет именно туда, куда хотел — вот на этот сайт. Более дорогие сертификаты еще позволяют заверить, что веб-страница принадлежит конкретной компании. Особенно важно иметь сертификат безопасности, если вы:

  • собираете личные данные пользователей;

  • принимаете платежи.

Сейчас на зашифрованные протоколы переходит все больше сайтов в сети, поэтому стоит позаботиться и о своем собственном.

Способов защитить сайт на Wordpress, пожалуй, столько же, сколько способов его взломать. Но они появляются и совершенствуются постепенно, поэтому следует периодически обновлять сайт и все имеющиеся плагины, а также хотя бы иногда обращать внимание на новости по безопасности. Это не сложно, хотя требует немного дисциплины и внимания.


Понравилась статья? Расскажите о ней друзьям:

Автор: Богдана Гайворонская

Журналист (с 2003 года), IT-копирайтер (с 2013 года), контент-маркетолог Cityhost.ua. Специализируется на статьях о технологиях, создании и продвижении сайтов.