CityHost.UA
Допомога і підтримка

Як захистити сайт на WordPress і не стати жертвою вразливостей відкритого коду

 2829
05.06.2023
article

 

 

***

У світі інтернету постійно доводиться обирати між комфортом і безпекою. Простий пароль більш вірогідно запам’ятається — але його легко підібрати; встановлювати скачані програми з інтернету зручно, але можна отримати бонусом неприємний «сюрприз», на який ти не розраховував.

Так само з WordPress — це неймовірно зручна система керування контентом (CMS або рушій), яка спрощує життя веб-майстрам. Більше не потрібно писати код самостійно — достатньо купити хостинг та домен для сайту, встановити CMS (зараз це можна зробити в пару кліків) та зібрати веб-ресурс за допомогою конструктора. Але… Ви не знаєте, хто випускав «деталі», наскільки відповідально він працював, і чи не заклали туди зловмисники кілька цікавих функцій — окрім тих, які вам потрібні.

В далекому минулому, в часи перших комп’ютерів, у всіх був знайомий хлопець, який приходив, буркотів «встановлюють собі все підряд» і чистив безкінечно загальмований апарат від вірусів. Насправді всі ми можемо бути таким хлопцем для нашого Вордпресу. Захист Wordpress — не така вже складна справа.

Що таке Wordpress і чому він вразливий

Wordpress — це система керування контентом з відкритим кодом. Вона має деяку кількість початкових функцій за замовчуванням, а також три готові теми (шаблони сайту). Але охочі можуть випускати свої плагіни (додатки, що виконують на сайтах певні функції) і теми (шаблони). 

Ці плагіни і теми можна завантажувати з магазину і встановлювати. Також вони існують просто в інтернеті — наприклад, можна загуглити запит на кшталт worpdress templates і отримати купу лінків. Таким чином, хоча рушій написаний мовою PHP, її не обов’язково знати, щоб створити просту сторінку. Сайт на Wordpress буде виглядати професійно і охайно, навіть якщо його створював не дизайнер і не розробник.

Плагіни Wordpress роблять все — вдосконалюють SEO, збирають статистику, покращують структуру сайту, прив’язують платіжні інструменти, вбудовують відео, іконки соцмереж, форуми, хмари тегів. По суті все це можна робити, навіть не відкриваючи редактор коду сайту або користуючись ним по мінімуму. Дуже багато плагінів та тем безкоштовні або умовно безкоштовні.

Але кожен такий плагін — це файли з кодом, які встановлюються на сайт і отримують до нього доступ. Ніхто не може гарантувати, що серед корисного коду, який покращує вигляд та функціональність сайту, не сховано шматок шкідливого — той же вірус.

Читайте також: Віруси на сайті — як їх знайти та захиститися від зараження

Вразливості Wordpress — звідки вони з'являються і чим загрожують сайту

Коли ми завантажуємо і запускаємо тему чи плагін, то не знаємо, що саме запустили. Далеко не всі полізуть в код перевіряти. А він може бути написаний так, що зловмисники зуміють знайти вразливість і внести свої корективи, зламати Wordpress і використати сайт для зловмисних цілей. Наприклад, проблеми виникають через некоректно прописане очищення даних — коли в базу даних, що містить вразливу інформацію, потрапляє те, що там не має бути. Тоді зловмисники можуть зробити так звану «ін’єкцію», вбудувавши шкідливий код. Існує доволі багато слабких місць, через які можна відносно легко зламати сайт на Wordpress.

Шкідливий код може:

  • містити віруси та інше шкідливе ПЗ;

  • скидати пароль адміністратора і отримувати доступ до інформації;

  • сприяти фішингу — і це уже напряму призведе до втрати грошей і репутації, якщо йдеться про інтернет-магазин;

  • робити автоматичне перескерування на якісь сайти, накручувати перегляди;

  • використовувати ресурси сайту для організації DDoS-атак, вбудовуючи в нього відповідні віруси, і багато іншого.

Для розуміння, тільки за один тиждень протягом квітня 2023 виявлялося 70-80 вразливостей в темах та плагінах, які зачіпали сайти на Wordpress в чисельності кілька мільйонів. 

Нещодавно виявлені вразливості Wordpress

Вразливості Вордпрес виявляють регулярно. Ось новина з thehackernews.com за 6 травня — безневинний плагін для створення кастомних полів у сторінках Wordpress містив вразливості, що призводять до рефлектованого міжсайтового скриптингу. Це — тип атаки, що полягає у розсиланні шкідливого коду користувачам, після чого їхній браузер виконує несанкціоновані дії, наприклад, зловмисники можуть красти чутливу інформацію. Рефлектована атака вимагає, щоб користувач перейшов за посиланням, яке виглядає як надійне. Ось чому його намагаються розсилати електронною поштою або вбудовувати на сторінки нормальних сайтів — зокрема за допомогою вразливостей в плагінах Wordpress.

А ось популярний плагін Essential Addons для Elementor містить вразливість CVE-2023-32243, яка дозволяє зловмиснику скинути пароль і захопити сайт. 

Вразливість самого рушія використали інші зловмисники, які заражають сайти своїм шкідливим кодом і перескеровують користувачів на інші, шахрайські сторінки, щоб накручувати перегляди реклами в Google Ads. Такі перегляди приносять гроші, тож вигода очевидна. Про це пише Itc.ua.

Одне слово, безпека сайту на Wordpress — питання важливе, тому давайте перейдемо до практичних кроків, які допоможуть врятувати ваш сайт від неприємностей.

Сканери вразливостей: використовуємо онлайн-сервіси для перевірки сайту

Оскільки сайт на Wordpress по замовчуванню буде мати вразливості, дивно було б не навчитися їх визначати. Для цього існують численні сервіси, як безкоштовні, так і з додатковими функціями за певну оплату. Вразливості Вордпрес шукають:

  • Hacker Target WordPress Security Scan тестує весь сайт, починаючи від визначення CMS сайту, тем, плагінів, необхідності оновлень, проблем з користувацькими записами;

Як знайти вразливості Wordpress — Hacker Target WordPress Security Scan

  • Scanurl покаже репутацію сайту в мережі: чи пройде він Google Safe Browsing, чи має негативні оцінки, зокрема в WebTrust, чи помічав його хтось як небезпечний тощо;

  • Sucuri Website Malware and Security Scanner. Про компанію Sucuri ми щойно говорили в контексті пошуку вразливостей, і ось її продукт — шукає всі скрипти на сайті (згодиться тим, хто розбирається в скриптах і побачить ті, які не ставив), проблеми фаєрвола, наявність сайту в чорних списках тощо;

  • UpGuard не просто сканує, а видає результати в гейміфікованій формі. Він шукатиме і шкідливий код, і проблеми з антивірусним захистом, і багато чого ще.

Захист Wordpress буде значно надійнішим, якщо обраним сканером ви користуватиметеся хоча б раз на місяць.

Як захистити сайт на Wordpress від злому — покрокова інструкція

Як бачимо, зламати Wordpress цілком реально. Але це не означає, що ним не можна користуватися. По-перше, коли виявляють вразливості, розробники плагінів та тем роблять для них так звані патчі — код, що закриває «слабке місце». По-друге, ризики можна значно зменшити, якщо вживати заходів безпеки. 

Безпека сайту на WordPress: захист адмінки

Більшість вразливостей, які дозволяють перехопити контроль над сайтом, спрямована на скидання паролю адміністратора і встановлення нового. Щоб уникнути цього:

  • встановіть двофакторну аутентифікацію. Цю функцію пропонують деякі плагіни безпеки — Jetpack, Wordfence. Існують і окремі плагіни спеціально для цього, зокрема Google Authenticator. Він пропонує встановити другу стадію входу після вводу паролю — відповідь на секретне запитання, код з смс тощо;

 Захист Wordpress за допомогою Google Authenticator

  • обмежте кількість спроб введення паролю. Це можна зробити теж за допомогою плагінів — зокрема, Loginizer, Limit Login Attempts. Треба встановити один із цих плагінів і вибрати в налаштуваннях кількість спроб;

  • створюйте окремі облікові записи для редакторів і контент-менеджерів, обмеживши їхні права необхідними для роботи з контентом.

Читайте також: Як захистити свій акаунт в Cityhost в часи інформаційної нестабільності

Вибирайте перевірені теми та плагіни Wordpress

Плагіни Wordpress і теми дуже зручні в користуванні. Але важливо обирати ті, які з меншою ймовірністю будуть уражені.

Використовуйте перевірені плагіни і теми. Сама компанія Wordpress пропонує довіряти тим плагінам і темам, які ви завантажуєте з її магазину. Найкраще обирати популярні плагіни, і ті, які часто оновлюються. 

Не забувайте оновлювати плагіни та версію Вордпрес

Відповідальні розробники, як правило, регулярно перевіряють свої продукти на вразливості Вордпрес. Коли вразливість знаходять, її лагодять за допомогою патчу. Щоб захистити Wordpress:

  • регулярно оновлюйте плагіни: якщо вони мали вразливість, то в наступних версіях її, скоріше за все, полагодять;

  • регулярно оновлюйте саму систему Wordpress: нові версії теж більш захищені.

Безпека Wordpress: встановіть спеціальні плагіни безпеки

Кожен плагін безпеки має свій набір функцій, вони бувають різні, і доводиться обирати, як захистити Wordpress. Адже встановлювати забагато плагінів — шкідливо для швидкості сайту. Одні плагіни сканують сам сайт, інші можуть боротися лише з певними наслідками зламу — наприклад, не дозволять скинути пароль, або вчасно зроблять бекап сайту.

безпека сайту на wordpress — плагін Sucuri

Ось кілька варіантів, якими можна скористатися:

  • Sucuri в безкоштовній версії дозволяє тестувати файли сайту, також він здатен захищати від DDoS-атак, сканувати на віруси, підтримувати сертифікат безпеки тощо;

  • All in One WP Security & Firewall — містить фаєрвол, як випливає з назви, але також пропонує багато зручних функцій для ускладнення зламу сайту — блокування ІР-адреси, якщо пароль було кілька разів введено невірно, повідомлення, коли якісь файли сайту змінюють, доступ в адмінпанель лише у встановлений робочий час, логування відвідувань, капчу для ускладнення підбору паролю, чорний список файлів і багато чого ще;

  • Loginizer блокує адресу користувача, який невірно ввів пароль;

  • Jetpack розроблений Wordpress спеціально для захисту сайтів на цьому рушії. Він сканує на віруси і черви, моніторить трафік та всі зміни на сайті, відсікає спам тощо. До того ж цей плагін має функції для оптимізації сайту, збирає статистику, пропонує зручні функції для електронних розсилок і соцмереж;

  • Wordfence сканує файли сайту на цілісність та безпеку, моніторить трафік та повідомляє про DDos-атаки, а також надає фаєрвол, який спиняє спроби злому, захищає від сканування хакерами, ботнету, шкідливого трафіку тощо. До того ж плагін дозволяє знайти на сайті шкідливі і фішингові посилання, якщо вони з’явилися.

Плагінів безпеки чимало, але варто шукати популярні, регулярно оновлювані і ті, які надають більше функцій одночасно.

Захист сайту: загальні поради

Безпека сайту на Wordpress також залежить і від виконання загальних правил, які зменшують ймовірність зараження вірусами. Варто адмініструвати його з перевіреного і захищеного комп’ютера, регулярно сканувати комп’ютери всієї команди. Також варто:

  • вчасно робити бекапи;

  • встановити хороший, складний пароль і регулярно змінювати його;

  • встановлювати унікальні логіни для всіх, хто працює з сайтом. Можна навіть видалити акаунт admin, попередньо створивши інший акаунт з правами адміністратора. Це можна зробити через пункт меню «Користувачі» (Users). Біля кожного наявного користувача при наведенні з’являється така опція.

Також важливо встановити на сайті SSL-сертифікат і перейти на протокол https. Справа в тому, що по замовчуванню всі обміни даними в інтернеті відкриті (протокол http), і це дозволяє зловмисникам «вклинитися» між сервером та браузером користувача і вкрасти чутливу інформацію або перескерувати його. SSL-сертифікат — це своєрідний електронний паспорт, який дозволяє обмін даними тільки після того, як встановлене зашифроване з’єднання. Одночасно він показує, що за лінком користувач йде саме туди, куди хотів — ось на цей сайт. Більш дорогі сертифікати ще й дозволяють завірити, що веб-сторінка належить конкретній компанії. Особливо важливо мати сертифікат безпеки, якщо ви:

  • збираєте особисті дані користувачів;

  • приймаєте платежі.

Зараз на зашифровані протоколи переходить все більше сайтів в мережі, тож варто потурбуватися і про свій власний.

Способів захистити сайт на Wordpress, мабуть, стільки ж, скільки способів його зламати. Але вони з’являються і вдосконалюються поступово, тому варто періодично оновлювати сайт і всі наявні плагіни, а також хоча б іноді звертати увагу на новини щодо безпеки. Це не складно, хоча потребує трохи дисципліни і уваги.


Сподобалася стаття? Розкажіть про неї друзям:

Автор: Богдана Гайворонська

Журналіст (з 2003 року), IT-копірайтер (з 2013 року), контент-маркетолог Cityhost.ua. Спеціалізується на статтях про технології, створення та просування сайтів.