Как злоумышленники получают доступ к сайтам WordPress

  1. Большинство владельцев сайтов не знают
  2. Плагины - ваш самый большой риск
  3. Держите их в курсе
  4. Не используйте заброшенные плагины
  5. Атаки грубой силой - все еще большая проблема
  6. Использовать вход с мобильного телефона
  7. Не используйте очевидные имена пользователей
  8. Включить безопасность входа в Wordfence
  9. Другие шаги для защиты вашего сайта
  10. Заключение

В этом блоге мы много пишем о различных уязвимостях, которые могут привести к компрометации сайта. В нашем Обучающий центр мы углубимся в множество важных тем, связанных с безопасностью WordPress. наш удобный контрольный список Например, включает в себя 42 пункта, на которые вы действительно должны обратить внимание. Но не все 42 вещи одинаково важны, верно? В сегодняшнем посте мы углубимся в некоторые очень интересные данные, которые мы собрали пару недель назад в опросе, что позволяет фактам сказать нам, что важнее всего.

Вопрос, который мы задали в опросе:

Если вы знаете, как ваш сайт был взломан, опишите, как злоумышленники получили доступ.

Ответы были в свободной форме, поэтому мы вручную классифицировали ответы. Если респондент выразил какое-либо сомнение в их ответе, мы классифицировали их как неопределенные.

Большинство владельцев сайтов не знают

Из 1032 респондентов, ответивших на этот вопрос, 61,5% не знали, как злоумышленник взломал их сайт . Это не является большим сюрпризом, учитывая, что подавляющее большинство респондентов сами убирают свои сайты, но это беспокоит. Невозможно быть уверенным в том, что вы полностью очистили свой сайт или что уязвимость все еще не существует, не зная, как сайт был скомпрометирован в первую очередь.

Для владельцев сайта, которые выяснили, как проникли злоумышленники, вот как выглядит разбивка:

Для владельцев сайта, которые выяснили, как проникли злоумышленники, вот как выглядит разбивка:

В итоге мы постараемся сосредоточиться, прежде всего, на двух главных рисках. Потому что, если вы можете защитить себя от уязвимостей плагинов и атак грубой силы, на вас приходится более 70% проблемы .

Плагины - ваш самый большой риск

Плагины играют большую роль в том, чтобы сделать WordPress таким же популярным, как сегодня. На момент написания этой статьи в официальном каталоге плагинов WordPress доступно для скачивания 43 719 плагинов. Это невероятный выбор программного обеспечения Plug and Play. Но вам, очевидно, нужно быть осторожным с ними, поскольку уязвимости плагинов представляют 55,9% известных точек входа, о которых сообщают респонденты.

Несколько советов о том, как избежать уязвимостей плагина:

Держите их в курсе

Авторитетные авторы плагинов очень быстро исправляют уязвимости при их обнаружении. Поддерживая их в актуальном состоянии, вы гарантируете, что получите выгоду от исправлений, прежде чем злоумышленники смогут их использовать. Мы рекомендуем вам проверять наличие обновлений хотя бы раз в неделю. Кроме того, мы рекомендуем вам обратить внимание на предупреждения, генерируемые при сканировании Wordfence. Wordfence предупреждает вас, когда ваши плагины должны быть обновлены.

Не используйте заброшенные плагины

Вы полагаетесь на то, что разработчик плагинов гарантирует, что их код не содержит уязвимостей. Если они больше не предоставляют обновления, существует высокая вероятность того, что существуют уязвимости, которые не были исправлены. Мы рекомендуем избегать плагинов, которые не обновлялись более 6 месяцев. Для уже установленных плагинов мы рекомендуем проводить аудит не реже одного раза в квартал, чтобы убедиться, что ни один из ваших плагинов не был оставлен их авторами.

Загружайте только плагины с авторитетных сайтов
Если вы собираетесь загружать плагины где-то помимо официального репозитория WordPress, вам необходимо убедиться, что веб-сайт заслуживает уважения. Для злоумышленников один из самых простых способов скомпрометировать ваш веб-сайт - заставить себя самостоятельно загрузить вредоносное ПО. Злоумышленник сделает это, настроив веб-сайт, который выглядит легитимным, и заставит вас загрузить скомпрометированный или «обнуленный» плагин.

Используйте эти советы, чтобы определить, является ли сайт авторитетным источником или нет:

  • Eye Test - Является ли сам сайт профессионально разработанным и использует понятный язык для описания продукта? Или это похоже на то, что это было быстро собрано одним человеком?
  • Информация о компании - принадлежит ли сайт компании с названием компании в нижнем колонтитуле?
  • Условия использования и политика конфиденциальности - есть ли у них условия обслуживания и политика конфиденциальности?
  • Контактная информация - предоставляют ли они физический контактный адрес на странице контактов или в своих условиях обслуживания?
  • Поиск домена - Google доменное имя в кавычках, например, «example.com». Находите ли вы какие-либо сообщения о вредоносной активности. Добавьте слово «тема» или «плагин» рядом с указанным доменным именем в своем поиске и посмотрите, что из этого получится.
  • Поиск по имени - Выполните поиск в Google по названию плагина и посмотрите, не сообщается ли о какой-либо вредоносной активности. Добавьте в поисковую фразу «вредоносное ПО» или «шпионское ПО», что может выявить форумы, обсуждающие вредоносную версию распространяемой темы.
  • Поиск уязвимостей - выполните поиск по названию темы или плагина или имени поставщика и включите слово «уязвимость». Это поможет вам узнать, были ли обнаружены какие-либо уязвимости для интересующего вас продукта или для поставщика. Если они своевременно исправили уязвимость, это обычно указывает на то, что они являются ответственным поставщиком, который активно поддерживает свой продукт при возникновении проблем.

Атаки грубой силой - все еще большая проблема

Атака грубой силы - это атака с целью подбора пароля. Злоумышленник должен одновременно указать действительное имя пользователя на вашем веб-сайте, а затем угадать пароль для этого имени пользователя. Несмотря на доступность методов и технологий, которые на 100% эффективны, этот тип атаки все еще остается огромной проблемой, представляя 16,1% известных точек входа в наш опрос.

Несколько советов, как избежать взлома с помощью грубой силы атаки:

Использовать вход с мобильного телефона

Этот подход, также называемый двухфакторной аутентификацией, требует, чтобы пользователь не только знал свой пароль, но и владел своим мобильным телефоном. Эта технология на 100% эффективна в предотвращении атак методом перебора. Wordfence Premium включает эту функцию сегодня.

Не используйте очевидные имена пользователей

Наиболее очевидные имена пользователей, которых следует избегать, это «Администратор» и «Администратор», они являются наиболее распространенными именами пользователей, предпринимаемыми при атаках методом перебора. Также избегайте использования вашего доменного имени, названия компании и имен людей, которые пишут для вашего блога или перечислены в другом месте на вашем сайте.

Включить безопасность входа в Wordfence

Бесплатная версия Wordfence предоставляет длинный список функций безопасности входа в систему. Убедившись, что они включены, вы получаете следующие возможности:

  • Обеспечить надежные пароли
  • Блокировка пользователей после определенного количества неудачных попыток входа
  • Блокировка пользователей после нескольких попыток забытого пароля
  • Блокировка неверных имен пользователей
  • Предотвращение WordPress от выявления действительных имен пользователей в ошибках входа
  • Предотвращение обнаружения имени пользователя с помощью сканирования автора
  • Немедленная блокировка IP-адресов, которые пытаются войти в систему как определенный список имен пользователей.

Другие шаги для защиты вашего сайта

Поддерживать все в актуальном состоянии - это ключ. В текущей версии ядра WordPress серьезных известных уязвимостей нет. Однако в старых версиях WordPress существует большое количество известных уязвимостей. Поэтому очень важно поддерживать ядро ​​WordPress в актуальном состоянии. Команда WordPress реагирует быстро, когда о проблеме сообщают, и вы тоже должны это делать.

Многие из наших респондентов указали, что их учетная запись хостинга была каким-то образом взломана. Убедитесь, что у вас есть надежная политика паролей для вашей учетной записи CPanel и любого другого сервера или хостинга связанных учетных записей. Также убедитесь, что вы удаляете любые приложения на вашем сервере, такие как phpmyadmin, которые не являются абсолютно необходимыми. Если вы этого не сделаете, вам также придется поддерживать их и обеспечивать их обновление и безопасность. Каждое приложение является другой конечной точкой, которую можно атаковать. Чем меньше вы защищаете, тем ниже риск .

Защитите свою рабочую станцию, обновляя операционную систему и приложения. Запуск старого уязвимого веб-браузера или старой версии Flash или Adobe reader может сделать вас уязвимым для фишинговых атак, которые могут поставить под угрозу вашу рабочую станцию. После того, как ваша рабочая станция скомпрометирована, злоумышленник может легко установить клавиатурный регистратор для захвата имен пользователей и паролей. Они получат доступ к гораздо большему, чем ваш сайт WordPress.

Надежно храните пароли. Не храните их в виде открытого текста в документе, который может быть скомпрометирован. Вы можете использовать такой продукт, как 1Password, который предоставляет зашифрованное «хранилище» для хранения ваших паролей.

В заключение, как мы уже говорили ранее, удалите все старые данные, которые вам не нужны с вашего сайта. Это включает в себя резервные файлы, которые вам не нужны, файлы журналов, приложения, которые вы не используете, или что-то еще, что вам не нужно на вашем сайте. Старые данные - это еще одна возможная точка входа, которую необходимо защитить, и если вы можете удалить ее, вы уменьшите риск.

Заключение

Безопасность WordPress - это битва на многих фронтах, о чем свидетельствуют 42 позиции в нашем контрольном списке и глубина и широта предметов в нашем постоянно развивающемся Обучающий центр , Но знание - это сила, и данные этого опроса позволяют нам сосредоточиться на том, что важнее всего. Мы надеемся, что вы воспользуетесь возможностью внести свой вклад в улучшение выбора и управления плагинами на своем веб-сайте. Мы также надеемся, что вы пересмотрите свой подход к защите от перебора. Небольшие инвестиции в этих областях принесут большие дивиденды безопасности. Оставайтесь в безопасности!

Но не все 42 вещи одинаково важны, верно?
Или это похоже на то, что это было быстро собрано одним человеком?
Информация о компании - принадлежит ли сайт компании с названием компании в нижнем колонтитуле?
Условия использования и политика конфиденциальности - есть ли у них условия обслуживания и политика конфиденциальности?
Контактная информация - предоставляют ли они физический контактный адрес на странице контактов или в своих условиях обслуживания?