Как защитить свой сайт на WordPress: советы эксперта

Эпоха роботов

Кому нужен мой маленький сайт по продаже вязаных варежек? Неужели хакерам нечем больше заняться, как сидеть и подбирать свои хакерские инструменты, чтобы украсть его базу данных?

Конечно нет. Времена такой тонкой ручной работы прошли. Теперь хакеры – проблема действительно крупных компаний, у которых есть, что взять. А вот магазинами по продаже варежек занимаются роботы.

И долго им искать не приходится. Статистика показывает, что любой конкретный IP-адрес в интернете может быть просканирован такими роботами до 1000 раз в сутки.

При выявлении уязвимости робот проводит атаку. В сети они происходят каждые 14 секунд: никакого авторского подхода, одни технологии.

Что мы теряем

Когда хакеры взламывают основанную на WordPress блог-платформу, скажем, известного информационного агентства Reuters, эта новость попадает в заголовки всех мировых СМИ.

Но что потеряет этот мир от кражи базы данных небольшого магазина, который успел продать всего две пары варежек?

Тем более можно все восстановить из резервной копии и продолжить торговлю. К сожалению, не все так просто.

Последний вариант особенно опасен тем, что вы его даже не заметите.

Целью злоумышленников может быть только контроль трафика сайта, но и этого достаточно, чтобы нанести компании ущерб, кратный масштабу вашего бизнеса. А еще можно потерять домен, с которого, к примеру, рассылались фишинговые письма или вирусы.

Кажется, что правильно защитить сайт сложно. Но в большинстве случаев достаточно соблюдать простые правила и использовать бесплатные инструменты, которые может настроить любой веб-мастер средней руки. Вот эти правила:

• Правило 1. Организуйте резервное копирование

Любой системный администратор за минуты настроит сценарий автоматического создания резервных копий и выделит для них место на сервере.

Взломав его, хакер с высокой вероятностью получит доступ и ко всей хранящейся на сервере информации. Полностью зашифровав ее вместе с резервными копиями, он лишит вас возможности восстановить сайт и предъявит свои требования.

Правила безопасного бэкапа очевидны и легко реализуемы, просто не надо их игнорировать, например, в спешке.

• Правило 2. Проверяйте обновления

Именно устаревшая версия WordPress оказалась воротами, через которые хакеры проникли в крупную международную компанию – знаменитое информационное агентство Reuters.

По данным 2019 года, 49% всех развернутых на сайтах копий WordPress на момент заражения имели устаревшую версию.

Начиная с версии 3.7 WordPress научилась обновляться в полностью автоматическом режиме, но это не повод терять бдительность.

Сейчас библиотека таких плагинов уже содержит более 50 тыс. наименований.

Кто их написал? Как тщательно он следит за их безопасностью? Остается только догадываться. Поэтому, проверяя текущую версию ядра WordPress, всегда проверяйте и актуальные версии всех плагинов. 

• Правило 3. Используйте сертификат SSL

Если у вас на сайте имеется платежный шлюз для оплаты покупок, значит и SSL-сертификат у сайта имеется – таково требование банков.

Выражаясь простым языком, он позволяет браузеру пользователя подтвердить подлинность сайта и установить с ним зашифрованный канал связи по протоколу HTTPS.

Такие сертификаты существуют как для физических, так и для юридических лиц. Проверив ваш сертификат Company Validation (SSL CV), браузер, например, будет знать, что ваша компания действительно существует.

Кроме того, поддерживаемое SSL 256-битное шифрование сделает для хакера задачу по перехвату трафика гораздо более сложной.

Наконец, наличие SSL является отличным положительным SEO-фактором.

• Правило 4. Переходите на SFTP и SSH

Используйте только защищенные протоколы передачи данных. Привычный FTP передает данные по двум каналам: основному и командному. И оба они по умолчанию не защищены шифрованием.

Если хакер организовал несложный перехват трафика, то стоит вашему системному администратору скачать с сайта WordPress файл wp-config.php, как ваша CMS окажется под полным контролем злоумышленника.

Решение проблемы скрывается за двумя аббревиатурами: SSH (Secure Shell) и SFTP (SSH File Transfer Protocol).

Первая – криптографический протокол, который позволяет получить безопасный доступ к серверу в незащищенной сети.

SFTP использует возможности SSH, чтобы передавать и данные, и команды по единому зашифрованному каналу, устойчивому к взлому.

Хорошим дополнением к такой защите станет утилита SSHGuard, которая не позволит хакеру взломать вашу учетную запись SSH простым перебором паролей.

• Правило 5. Изолируйте базы данных

Один бизнес-проект может использовать десятки однотипных сайтов, рассчитанных, например, на разные целевые аудитории или повышающих видимость вашего бизнеса в поисковых системах.

Самый простой способ наладить работу этих сайтов – использование единой для всех базы данных. И это опасный путь.

В случае взлома любого из сайтов – например, с помощью внедрения SQL-кода – хакер получит доступ ко всей вашей информации.

При этом стоит заодно отозвать и все избыточные права доступа, оставив, например, только чтение и запись.

• Правило 6. Блокируйте подозрительные IP

Хорошим способом блокировки автоматических атак, в том числе и имеющих целью перегрузку сайт запросами (DDOS), является блокировка IP-адресов, с которых поступают подозрительные обращения.

Вышеперечисленные способы защиты не требуют привлечения специалиста по информационной безопасности и запросто могут быть реализованы в полном объеме обычным сисадмином. К тому же, если не брать в расчет SSL-сертификат, они совершенно бесплатны. Стопроцентной безопасности их внедрение, конечно, не обеспечит, но точно поможет избежать ощутимого ущерба из-за простого недосмотра.

Фото: Unsplash