Колонки

Как защитить свой сайт на WordPress: советы эксперта

Колонки
Филипп Хюмо
Филипп Хюмо

Генеральный директор и соснователь проекта CrowdSec

Илья Голубев

Большой интерес киберпреступников к WordPress объясняется просто – на этой системе управления контентом (Content Management System, CMS) работает примерно 40% всех сайтов в интернете.

Проект имеет открытый исходный код, его можно использовать бесплатно, а настройка и запуск сайта занимает всего несколько часов даже у человека, в жизни не написавшего ни строчки программного кода.

Генеральный директор и соснователь проекта CrowdSec Филипп Хюмо рассказывает, как защитить от киберугроз сайты на WordPress.

Как защитить свой сайт на WordPress: советы эксперта

Эпоха роботов


Кому нужен мой маленький сайт по продаже вязаных варежек? Неужели хакерам нечем больше заняться, как сидеть и подбирать свои хакерские инструменты, чтобы украсть его базу данных?

Конечно нет. Времена такой тонкой ручной работы прошли. Теперь хакеры – проблема действительно крупных компаний, у которых есть, что взять. А вот магазинами по продаже варежек занимаются роботы.

Автоматические программы взлома непрерывно сканируют все пространство IP-адресов в поисках сайта, содержащего известную уязвимость.

И долго им искать не приходится. Статистика показывает, что любой конкретный IP-адрес в интернете может быть просканирован такими роботами до 1000 раз в сутки.

При выявлении уязвимости робот проводит атаку. В сети они происходят каждые 14 секунд: никакого авторского подхода, одни технологии.

Что мы теряем


Когда хакеры взламывают основанную на WordPress блог-платформу, скажем, известного информационного агентства Reuters, эта новость попадает в заголовки всех мировых СМИ.

Но что потеряет этот мир от кражи базы данных небольшого магазина, который успел продать всего две пары варежек?

Создаешь Open Source стартап? Не пропусти возможность запитчить на ROS Summit 1 октября

Тем более можно все восстановить из резервной копии и продолжить торговлю. К сожалению, не все так просто.

Найденная хакером уязвимость – ворота для любого типа вторжений: удаления сайта, шифрования его содержимого с последующим требованием выкупа, превращения его в «зомби» для заражения компьютеров посетителей или получения их личных данных и реквизитов банковских карт.

Последний вариант особенно опасен тем, что вы его даже не заметите.

Целью злоумышленников может быть только контроль трафика сайта, но и этого достаточно, чтобы нанести компании ущерб, кратный масштабу вашего бизнеса. А еще можно потерять домен, с которого, к примеру, рассылались фишинговые письма или вирусы.

Кажется, что правильно защитить сайт сложно. Но в большинстве случаев достаточно соблюдать простые правила и использовать бесплатные инструменты, которые может настроить любой веб-мастер средней руки. Вот эти правила:

  • Правило 1. Организуйте резервное копирование

Любой системный администратор за минуты настроит сценарий автоматического создания резервных копий и выделит для них место на сервере.

Грубой ошибкой здесь может стать хранение этих копий на том же сервере, где работает сам сайт.

Взломав его, хакер с высокой вероятностью получит доступ и ко всей хранящейся на сервере информации. Полностью зашифровав ее вместе с резервными копиями, он лишит вас возможности восстановить сайт и предъявит свои требования.

Правила безопасного бэкапа очевидны и легко реализуемы, просто не надо их игнорировать, например, в спешке.

  • Правило 2. Проверяйте обновления

Именно устаревшая версия WordPress оказалась воротами, через которые хакеры проникли в крупную международную компанию – знаменитое информационное агентство Reuters.

По данным 2019 года, 49% всех развернутых на сайтах копий WordPress на момент заражения имели устаревшую версию.

Начиная с версии 3.7 WordPress научилась обновляться в полностью автоматическом режиме, но это не повод терять бдительность.

Главным источником уязвимостей в этой CMS являются установленные там плагины и темы оформления.

Сейчас библиотека таких плагинов уже содержит более 50 тыс. наименований.

Кто их написал? Как тщательно он следит за их безопасностью? Остается только догадываться. Поэтому, проверяя текущую версию ядра WordPress, всегда проверяйте и актуальные версии всех плагинов. 

  • Правило 3. Используйте сертификат SSL

Если у вас на сайте имеется платежный шлюз для оплаты покупок, значит и SSL-сертификат у сайта имеется – таково требование банков.

Но этот SSL-сертификат стоит использовать и во всех прочих случаях.

Выражаясь простым языком, он позволяет браузеру пользователя подтвердить подлинность сайта и установить с ним зашифрованный канал связи по протоколу HTTPS.

Такие сертификаты существуют как для физических, так и для юридических лиц. Проверив ваш сертификат Company Validation (SSL CV), браузер, например, будет знать, что ваша компания действительно существует.

Кроме того, поддерживаемое SSL 256-битное шифрование сделает для хакера задачу по перехвату трафика гораздо более сложной.

Наконец, наличие SSL является отличным положительным SEO-фактором.

  • Правило 4. Переходите на SFTP и SSH

Используйте только защищенные протоколы передачи данных. Привычный FTP передает данные по двум каналам: основному и командному. И оба они по умолчанию не защищены шифрованием.

В мире, где атака происходит каждые 40 секунд, решениям из «детства интернета» уже не место.

Если хакер организовал несложный перехват трафика, то стоит вашему системному администратору скачать с сайта WordPress файл wp-config.php, как ваша CMS окажется под полным контролем злоумышленника.

Решение проблемы скрывается за двумя аббревиатурами: SSH (Secure Shell) и SFTP (SSH File Transfer Protocol).

Первая – криптографический протокол, который позволяет получить безопасный доступ к серверу в незащищенной сети.

SFTP использует возможности SSH, чтобы передавать и данные, и команды по единому зашифрованному каналу, устойчивому к взлому.

Хорошим дополнением к такой защите станет утилита SSHGuard, которая не позволит хакеру взломать вашу учетную запись SSH простым перебором паролей.

  • Правило 5. Изолируйте базы данных

Один бизнес-проект может использовать десятки однотипных сайтов, рассчитанных, например, на разные целевые аудитории или повышающих видимость вашего бизнеса в поисковых системах.

Самый простой способ наладить работу этих сайтов – использование единой для всех базы данных. И это опасный путь.

В случае взлома любого из сайтов – например, с помощью внедрения SQL-кода – хакер получит доступ ко всей вашей информации.

Чтобы этого не произошло, базы данных необходимо изолировать друг от друга и создать для каждой из них собственные уникальные учетные данные.

При этом стоит заодно отозвать и все избыточные права доступа, оставив, например, только чтение и запись.

  • Правило 6. Блокируйте подозрительные IP

Хорошим способом блокировки автоматических атак, в том числе и имеющих целью перегрузку сайт запросами (DDOS), является блокировка IP-адресов, с которых поступают подозрительные обращения.


Вышеперечисленные способы защиты не требуют привлечения специалиста по информационной безопасности и запросто могут быть реализованы в полном объеме обычным сисадмином. К тому же, если не брать в расчет SSL-сертификат, они совершенно бесплатны. Стопроцентной безопасности их внедрение, конечно, не обеспечит, но точно поможет избежать ощутимого ущерба из-за простого недосмотра.

Фото: Unsplash

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Как установить веб-приложение на рабочий стол
  2. 2 Кроссплатформенная и нативная разработка мобильных приложений в 2021 году
  3. 3 Начинать разработку IT-продукта с ТЗ — устаревший подход. Как действовать правильно?
  4. 4 Как понять, что ваш код украли, и можно ли этого избежать
  5. 5 7 признаков хорошей системы управления базами данных
AgroCode Hub
Последние новости, актуальные события и нетворкинг в AgroTech-комьюнити — AgroCode Hub
Присоединяйся!