WebDesignMagazine.ru – Журнал о веб-дизайне

Наcколько защищён ваш WordPress веб-сайт?

0

Одной из основных проблем с технологиями являются пробелы в их безопасности. Большое количество информации крадется ежедневно и используется для кражи дополнительной информации, идет рассылка спам-сообщений, открытие бэкдоров для систем, а иногда даже наносится ущерб нашим же компьютерам.

Для того, чтобы победить угрозу безопасности вашего Вордпресс сайта, мы сделали подборку хороших плагинов и советов о том, как не стать следующей жертвой киберпреступников. Или если вам, увы, не повезло, и вы уже имели опыт быть жертвой, то мы хотим вам показать, как бороться с этим настроив Вордпресс должным образом.

Эксплойт атаки

Возможно, вы об этом уже слышали и даже знаете подробности, но а  для тех кто нет, вот в чем проблема: эксплойт это часть вредоносного кода, который распространяется для использования слабости существующих кодов.

TimThumb поддавался атакам такого рода нераз, одна из его функций позволяет пользователям загружать изображения с разных сайтов и иметь свободный доступ к ним, хранить их в каталоге кэша, так чтобы Timthumb не должен был перерабатывать их снова. Эта функция может быть использована хакером при загрузке файла на сервер, что дает им неограниченный доступ к ресурсам из установки WordPress.

Точно такая же проблема коснулась Uploadify, плагин, который позволяет пользователям загружать файлы. При отсутствии должной настройки, плагин  дает хакерам свободный доступ на сайт при загрузке PHP скрипта для получения разрешений доступа.

Проблемой в этих случаях, как и в большинстве атак эксплойта, является не сам WordPress, а его модули или плагины. Решение этих проблем очень простое – обновляйте свои плагины  и сообщайте разработчикам о любых ошибках с  которыми вы сталкиваетесь, чтобы они могли сразу же устранить потенциальные проблемы.

SQL инъекции

Сама установка WordPress не застрахована от проблем. В зависимости от версии, SQL инъекции могут стать главной головной болью. SQL-инъекция представляет собой процесс, посредством которого злоумышленник пытается передать SQL код через формы на веб-сайте или скрипты в надежде на то, что код SQL будет принят за «правильный» и извлечет данные из базы данных. Эти данные могут быть адреса электронной почты, но, скорее всего, это будут имена пользователей и пароли, что потом подвергает пользователей более широкому спектру нападений.

Причина SQL атак может быть настолько раздражительной, что для борьбы с ними нужно часто делать резервную копию базы данных. Предпочтительно по меньшей мере один раз в день.

Чтобы избежать этого, вы можете попытаться защитить файлы с помощью Apache используя следующий код в вашем файле .htaccess:

Такой код отпугнет любителя, но профессиональный хакер найдет другую дыру в безопасности, чтобы её эксплуатировать. К счастью, большинство атак совершается новичками  или спамерами, с помощью скриптов PHP, R57 или Shell. Сокращение этих атак, значительно уменьшит количество проблем с которыми вам придется иметь дело.

Пользователь по умолчанию”

Самая большая дыра в безопасности любой системы, является конечный пользователь. Не имеет значения, насколько сложным будет пароль, который вы создаете. На самом деле чем сложнее пароль, тем больше угроза для безопасности, потому что очень сложные пароли должны быть где-нибудь сохранены. Пользователи зачастую сохраняют пароли в .txt или .doc файлах на своих компьютерах, что остовляет систему открытой для фишинг-атак с использованием вирусных файлов, таких как трояны.

Единственное безопасное место для хранения паролей – это собственная голова.

Однако, даже если вы всегда храните пароль в собственной памяти, вы все еще не в безопасности от “брутфорс”(от английского – bruteforce) нападения. Брутфорсные атаки просто попытаются “угадать” пароль с неоднократными попытками логина, они могут начать с «аааааа», потом перейти к «aaaaaб» и так далее, пока не достигнут «000000». Этот процесс не ограничивается одним компьютером, обычно сотни машин проходят через потенциальные пароли, вынюхивая доступ.

Единственный способ справиться с «брутфорс» атакой заключается в установке ограничителей входа, что только позволит несколько попыток логина до блокировки доступа для этого пользователя в течение часа или более. Такой приём уменьшает количество шансов злоумышленника на успешный логин. Существует несколько плагинов для WordPress, которые могут помочь вам в этом: Limit Login Attempts, Better WP Security, Login Security Solution.

Наконец, будьте внимательны с именами (username). Имя пользователя по умолчанию для WordPress является ‘Admin’, и если вы его таким оставите, то тогда вы вдвое уменьшите объем работы хакера, чтобы получить доступ к вашему сайту. Если вы не изменили свое имя пользователя, во время установки WordPress, то сделайте это сейчас. Просто войдите в свой аккаунт, и создайте новый аккаунт с именем пользователя, который вы хотите, дайте ему права администратора, а затем удалите старый администраторский аккаунт.

Прямой доступ

Еще одна проблема, которая может быть у нашего WordPress веб-сайта, это предоставление прямого доступа к странице входа в систему, что упрощает процесс его взлома.

Несмотря на то, что обеспечения безопасности пароля является наиболее актуальным вопросом, злоумышленник не сможет воспользоваться всей информацией, которую он украл, если он не может найти страницу входа в систему. Самым простым решением этой проблемы является использование плагина, как Hide Login, чтобы скрыть местоположение страницы входа (логина).

Можно также взломать некоторые файлы в установке WordPress, если должным образом не защитить их. Мы можем прояснить эту ситуацию, добавив еще несколько правил в наш файл .htaccess:

Префикс по умолчанию

Мы должны четко понимать, что чем больше информации мы даем нашим потенциальным хакером, тем легче им добиться успеха.

В таблице WordPress префикс по умолчанию является ‘wp_’. Почему мы это так оставляем? Давайте изменим эту приставку на что-то более труднее, ну например “oijrr58_”, это сделает жизнь хакера гораздо сложнее, и увеличит шансы того, что ваш сайт будет оставаться безопасным.

Для новых установок, это и ежу понятно, потому что скрипт установки просит у нас префикс. Для более старых сайтов у вас есть два варианта, вы можете внести изменения вручную (только попытайтесь это сделать, если у вас много времени и вы уверены, что знаете, что вы делаете), или используйте плагин, такой как Better WP Security, который  позаботиться об этом для вас.

Слишком поздно …

Никогда не слишком поздно! Вы всегда можете бороться с хакерами и предотвратить себя от возможности стать вечной жертвой.

Если вы не уверены, был ли ваш сайт заражен, есть программы, которые вам подскажут. Например,  Sucuri SiteCheck  полностью отсканирует ваш сайт и, если вы инфицированы, то тогда он вас проконсультируют, какие шаги нужно предпринять, чтобы исправить проблему(ы).

Основные правила безопасности веб-сайта

Вот некоторые основные шаги, которые нужно предпринимать:

  1. Делайте резервное копирование сайта и базы данных, взломаны или нет, вы не хотите потерять свой контент.
  2. Сделайте копии элементов, которые не находятся в базе данных, таких как изображения.
  3. Загрузите последнюю версию WordPress.
  4. Убедитесь, что все плагины новейшие, а также следите за версиями решения известных проблем.
  5. Убедитесь, что все шаблоны новейшие, а также следите за версиями решения известных проблем.
  6. Используйте FTP или Cpanel для удаления всего в директории WordPress.
  7. Загрузите новые файлы, которые вы скачали.
  8. Запустите обновления базы данных.
  9. Измените свой ​​пароль.
  10. 10.Наконец, проверьте каждое сообщение, исправляя любой ущерб, который был нанесен.

Борьба с R57 скриптами

R57 представляет собой PHP скрипт, который дает злоумышленнику широкий спектр возможностей, хотя у него и есть такие возможности, они не будут работать, пока оболочка находится на нашем веб-сервере, следовательно, мы можем предотвратить его от работы с помощью следующих команд:

Эта команда будет искать PHP файлы, расположенные в вашей WWW папку, а затем в найденных файлов она будет искать любые упоминания R57 в именах файлов и содержимого. Затем она начнет удалять зараженный файл (ы).

Этот код делает то же самое, за исключением TXT файлов вместо .php файлов.

Обратите внимание, что эти коды для Linux, не пробуйте их на ОС Windows или MacOS. Важно знать, что они могут быть весьма разрушительны, так как они удаляют файлы, не спрашивая разрешения.

Скрытый код

Основной причиной для беспокойства о темплейтах является скрытый код, как правило, вредоносный код, его труднее найти в темах. Основным оружием в борьбе с такого рода проблемой является Theme Authenticity Checker. Этот плагин проверит код не только на подозрительные линии в коде, но также обнаруживает статические ссылки и неясные кода, например, код генерируемый в base64, который трудно определить на глаз.

Итог

Безопасность WordPress так же важна, как и безопасность любого веб-сайта. Вы должны убедиться, что вы и ваши пользователи защищены от спама, вредоносного кода и фишинг-атак. Но помните, что первая линия обороны, на самом деле, начинается с  антивирусной программы на рабочем столе вашего компьютера! Удачи в борьбе с вредоносными программами. Если у вас также есть советы, как защитить Вордпресс веб-сайт – напишите об этом в комментариях внизу.

 

Поделиться:

Об Авторе

Редакция портала WebDesignMagazine.ru -онлайн журнал о веб-дизайне.