Как взламывают WordPress и что с этим делать?
Опубликовано: 02.09.2018
Взломанный сайт — явление совсем не новое и довольно частое. В силу своей популярности, WordPress также “под прицелом” недобросовестных людей (хакеров), способных не только получить данные из Вашего сайта, но и нарушить его работу в целом.
Зачем взламывать сайт?
Владельцы небольших сайтов довольно часто уверены в том, что их ресурсом не заинтересуется какой-либо хакер. Но если говорить о хакерстве, то тут дело не столько в популярности сайта, сколько в в самой возможности его взломать. Это означает, что даже мелкий сайт является желанной целью для любого хакера.
ВЗЛОМ САЙТА и его защита: заражение вирусами — Максим Набиуллин
Интересно, что большинство атак на сайты автоматизировано. Это доказывает тот факт, что хакерам не важны размер и популярность Вашего веб-ресурса.
Зачем взламывать сайт?
Зачем же хакеры для этого тратят столько усилий и времени? Представьте ситуацию, когда имеется интернет-магазин, в котором хранится информация о кредитных картах покупателей. Безусловно, мотивы заполучить такие данные предельно ясны. Но что взять из простого блога, который не содержит ничего подобного? Ответ на этот вопрос довольно прост — для злоумышленника любой сайт может принести выгоду.
Как самому просто создать свой сайт бесплатно. Личный блог на Wordpress для заработка.
Рассмотрим способы использования взломанных веб-ресурсов.
Атаки Drive-by-downloads . Ваш сайт может быть использован для инфицирования компьютеров Ваших посетителей вредоносным ПО, собирающим и отправляющим злоумышленникам нужную им информацию.
Редиректы . Часто хакерами осуществляются перенаправления посетителей с взломанного сайта на другие.
Ресурсы компьютера . Системные ресурсы сервера Вашего хостинга также могут быть использованы для получения выгоды (рассылка спама, осуществление мощных атак, майнинг криптовалюты).
Как взламывают WordPress-сайты?
Для WordPress-сайтов наиболее частыми причинами взлома являются:
уязвимость хостинга; небезопасность тем; уязвимость плагинов; слабый пароль.Как видите, даже плохая система безопасности Вашего хостинга может стать причиной взлома сайта. Особенно это актуально для shared-хостингов, на которых на одном сервере размещаются несколько сайтов. Проведя атаку на один из них, Ваш сайт тоже может попасть “под раздачу”.
Как обезопасить свой сайт?
Безопасность любого сайта зависит от предпринятых к нему мер безопасности. И WordPress не является исключением. Рассмотрим наиболее важные шаги, необходимые для обеспечения максимальной безопасности всего веб-ресурса.
Качественный хостинг
Как было сказано раньше, качество хостинга играет наиболее важную роль в безопасности. Помимо основных услуг, компания-хостер также должна обеспечивать регулярное сканирование всех файлов сайта на наличие вредоносного программного обеспечения и делать регулярные резервные копии. Кроме того, стоит обратить внимание на хостинги, которые специально оптимизированы на работу с CMS WordPress.
Регулярные резервные копии
Даже самый надежный хостинг не гарантирует Вам на 100%, что Ваш сайт не будет взломан. Такая вероятность существует всегда. Поэтому наличие полной его резервной копии поможет восстановить его работу в случае хакерской атаки или заражения вирусом. Из бесплатных решений резервного копирования наиболее популярны WordPress-плагины Duplicator или BackUpWordPress . Более детально работу с последним решением мы рассматривали в одной из наших прошлых статей.
Усиление данных авторизации
Слабые логин и пароль также могут стать причиной взлома сайта, особенно это актуально во время хакерской атаки, когда используется скрипт, который методом с помощью перебора определяет логин и пароль. Для этого важно регулярно предпринимать следующие шаги:
регулярно изменять пароль (особенно администратора); по возможности не использовать логин admin ; создать надежный пароль и хранить его в надежном месте; лимировать попытки авторизации (например, плагины Login LockDown или Login Security Solution ); задействовать 2-этапную аутентификацию, позволяющую осуществить вход в систему после введения кода подтверждения (например, плагины Duo Two-Factor Authentication , OpenID ); изменить адрес входа в админ-панель (об этом мы детально писали в одной из прошлых статей).Изменение ключей безопасности
Что такое ключи безопасности, для чего они нужны и как их установить было детально описано в следующей статье .
Изменение префикса таблиц базы данных
Процесс изменения префикса таблиц также рассматривать не будем, так как он был описан в одном из наших предыдущих материалов.
Регулярное обновление “движка”
Понятно, что мы обновляем WordPress не только для того, чтобы получить новые функции, но и для того, чтоб избавиться от уязвимостей, которые присутствуют в устаревших версиях. Данный код, вставленный в файл wp-config.php , поможет Вам включить автоматическое обновление WordPress в случае выхода крупных релизов. define( 'WP_AUTO_UPDATE_CORE', true );Скрытие версии WordPress
Для усиления безопасности следует скрыть версию WordPress. Это также было детально описано .
Правильное использование тем и плагинов
Бесспорно, отказываться от использования тех и других не имеет смысла, так как именно темы и плагины обеспечивают основной функционал сайта на WordPress. Единственное, что нужно, — это научится правильно их использовать. Для этого необходимо придерживаться ряда правил:
удалить неиспользуемые плагины и темы; регулярно обновлять темы и плагины; использовать темы и плагины исключительно с проверенных источников.Надлежащие права файлов и папок
Если эти права выставлены неправильно, то третьи лица могут получить доступ к файлам. Вот, как они должны выглядеть в идеале:
755 или 750 для всех папок; 644 или 640 для файлов; 600 для wp-config.php .Отключение редактора плагинов и тем
WordPress-редактор позволяет пользователям вносить изменения в файлы прямо в админ-панели, но это не только удобство, но и вред. Так что этот редактор лучше отключить и работать с файлами с помощью FTP -соединения. Для этого необходимо добавить следующий код в файл wp-config.php :
define( 'DISALLOW_FILE_EDIT', true );Отключение PHP-отчетов
Если в плагине или теме произошла ошибка, то всплывет сообщение, которое содержит информацию о Ваших директориях и системных файлах, которой могут воспользоваться хакеры. Чтоб их отключить, нужно этот код в файл wp-config.php :
error_reporting(0); @ini_set('display_errors', 0);В качестве заключения
Любой из перечисленных выше методов по отдельности не способен гарантировать Вам полную безопасность Вашего WordPress-сайта. Но комплексный подход обеспечит максимальную его защиту, гарантируя стабильность функционирования веб-ресурса в целом.
Если Вам понравилась статья — поделитесь с друзьями