В настоящее время большинство корпоративных веб-сайтов, даже те, у кого есть несколько подстраниц, оснащены системой управления контентом (CMS). Это, очевидно, диктуется возможностью дальнейшего, легкого редактирования и разработки контента на сайте людьми, которые не знают о конструкции сайтов. Какова проблема безопасности таких решений? В следующем руководстве я предоставил рекомендации по основным вопросам безопасности и более совершенным, требующим помощи администратора.
Почему вы должны заботиться о безопасности WordPress?
По этой же причине данное руководство ориентировано исключительно на решения, основанные на нем. В настоящее время WordPress является самой популярной системой управления контентом в Интернете. Согласно данным W3Techs, он обеспечивает более 25% всех сайтов в Интернете, оставив другие решения CMS далеко позади.
Поэтому неудивительно, что это также самая популярная цель хакера — согласно отчету Sucuri, WordPress является наиболее часто заражаемой CMS (78%).
Ключ, однако, и причина, по которой я создал эту статью, заключалась в заявлении в отчете:
«В большинстве случаев компромиссы не имеют ничего общего с ядром самого приложения CMS, но больше с неправильным развертыванием, настройкой и общим обслуживанием веб-мастеров и их хостов». Большинство инфекций соответствовали неправильной конфигурации и используемой CMS, а не той же самой.
Почему корпоративные сайты заражены?
По этому вопросу я также поддерживаю недавно опубликованный отчет о плагине безопасности Wordfence (https://www.wordfence.com/blog/2016/04/ hackers-compromised-wordpress-sites/).
Как видно на прилагаемом графике в 25% случаев, атакуемая страница перестала работать, а в других случаях зараженная страница:
Я отправил СПАМ на наш сервер,
Она создала на нашем сайте СПАМ, который позиционирует другие сайты хакеров,
Он создал опасные перенаправления и установил вирус на компьютер пользователя,
крадут пользовательские данные.
В каждом из вышеупомянутых действий мы потерпели поражение — как потеря потенциальных клиентов, так и способность потерять уверенность в глазах пользователей и поисковых систем. В связи с этим следствие взлома и заражением сайта может быть сокращено в своей позиции на Google и добавить наш домен в список адресов, которые посылают нежелательные сообщения — в зависимости от хакера.
Защита вашей бизнес-страницы
Надлежащая безопасность сайта должна быть для нас приоритетом. Проверьте приведенные ниже пункты и проверьте свои текущие действия. Некоторые из следующих советов вы не сможете сделать самостоятельно, но с помощью создателя или администратора вашего сайта это не составит труда.
Помните, как атакуются сайты, основанные на WordPress. Также доступна здесь новое развитие (https://www.wordfence.com/blog/2016/03/attackers-gain-access-wordpress-sites/), что указывает на то, что основные дороги хакерам взять под контроль партии являются:
штепсель,
слабые пароли
Такая же система WordPress,
прикладные темы
Вероятно, вышеупомянутые проблемы были связаны с отсутствием соответствующих обновлений и использованием слабых паролей.
Давайте перейдем к правильной части этого руководства или как защитить себя от атаки:
1. Обновить все
WordPress — динамичный проект, новые выпуски которого выпускаются регулярно. Они содержат не только новые или улучшенные функции системы, но и исправления для повышения ее безопасности. (Начиная с версии 3.7 WordPress автоматически обновляется в фоновом режиме, но только в пределах одной версии, 4.1 из 4.1.1, но не 4.2). , Это то же самое для плагинов и тем, где постоянно обнаруживаются новые ошибки, а регулярные обновления — ключ к безопасности сайта.
2. Сделайте регулярные резервные копии
Приобретая учетную запись хостинга, вы, вероятно, можете рассчитывать на регулярную резервную копию вашего сайта, но, как вы можете видеть на примере жизни (проблемы с хостингом 2be.pl), всегда стоит хранить вашу копию. Кроме того, есть старая поговорка, в которой говорится: «Люди разделяют то, что они делают, и что делают».
3. Не будь самим администратором
Эта точка немного извращена, но она не должна использовать учетную запись администратора по умолчанию, особенно с именем пользователя «admin». Это уменьшит возможность атаки грубой силы со стандартными входами администратора. В то же время при написании сообщений с другого аккаунта (с меньшими привилегиями, таких как редактор) вы не подвергаетесь имени пользователя хакера с правами администратора.
4. Использовать интеллектуальные пароли
Первая политика безопасности заключается в использовании разных паролей для каждой используемой нами службы. Это предотвращает эффект домино, где, как только пароль будет раскрыт, мы сможем полностью вывести нас из данных. Также убедитесь, что ваши пароли достаточно сильны — это пароли, состоящие из комбинации букв верхнего и нижнего регистра, цифр и специальных символов. Помните — безопасность WordPress также является надежным паролем для FTP-сервера и базы данных.
5. Используйте антивирус
Здесь я не буду писать — лучше избегать ситуации, когда у нас есть вирус на компьютере, не зная об этом, регулярно отправляя файлы на наш сервер.
6. Будьте разумными
Убедитесь, что оба плагина и шаблоны загружены из надежного источника, поэтому вы не сможете самостоятельно установить вредоносный код. Также не забудьте сохранить умеренность в установленных плагинах, и если вам это не нужно — удалите ее — таким образом вы загрузите WordPress и снизьте риск использования этого плагина для атаки.
Для DIY
Это советы, которые требуют действия под маской WordPress. После прочтения этого списка вы можете почувствовать, что эти рекомендации перевыполнены, но если это так, то некоторые из них, вероятно, не будут в официальной базе знаний в разделе Hardening WordPress.
1. Отключить редактирование тем и плагинов в кабине
Когда-то каким-то образом злоумышленник получает доступ к нашему кокпиту, важно не допустить его редактирования важных файлов с панели WordPress. Для этого файл wp-config.php должен быть написан:
define (‘DISALLOW_FILE_EDIT’, true);
2. Защитите важные файлы и папки.
Если наш сервер поддерживает .htaccess (в большинстве случаев ДА), вы можете сохранить дополнительные меры предосторожности для доступа к наиболее важным функциям WordPress:
Напишите в файле .htaccess, который обеспечит наш файл конфигурации (wp-config.php):
разрешить заказ, отрицать
отказывать всем
Запись в папку / Wp-Content /:
ОБЪЯСНЕНИЕ. Этот каталог необходим в любой установке WordPress, поскольку он устанавливает здесь и загружает: плагины, шаблоны, отправленные изображения. Иногда на зараженном WordPress можно найти интересную массу файлов .php, поэтому, чтобы защитить этот каталог, стоит создать в нем дополнительный пустой файл .htaccess, к которому мы вводим:
Отказаться, разрешить
Отказаться от всех
Разрешить от всех
Это позволит заблокировать все файлы с расширениями, отличными от перечисленных.
Защита файла xmlrpc.php
<файлы xmlrpc.php>
запретить порядок, разрешить
отказывать всем
Однако имейте в виду, что блокируя xmlrpc.php, вы не сможете использовать внешние решения, которые используют API для связи с вашим WordPress (создание и редактирование сообщений, модерирование комментариев и т. Д.).
3. Защитите файл .htaccess
Так же, как файлы WordPress заслуживают защиты, тот же файл .htaccess заслуживает защиты. Просто добавьте в него запись:
<файлы ~ "^. *. ([Hh] [Tt] [Aa])">
разрешить заказ, отрицать
отказывать всем
удовлетворять всем
4. Ограничить доступ к панели входа в WordPress.
Есть два способа сделать это.
Первый — установить пароль для каталога wp-admin, но я не буду обсуждать его, как это сделать, потому что самый простой способ — сделать это самостоятельно на панели хостинга. В каждом случае перед доступом к панели входа в систему потребуются дополнительные учетные данные.
Второй способ — ограничить доступ к этому каталогу только для выбранных нами адресов или диапазонов IP. Для этого вы должны ввести файл .htaccess:
запретить порядок, разрешить
отказывать всем
разрешить из xx.xx.xx.xxx
(вместо «x» вы вводите свой IP-адрес)
В то же время, исключая файл admin-ajax.php, который используют некоторые плагины:
# Разрешить доступ к wp-admin / admin-ajax.php
<Файлы admin-ajax.php>
Разрешить заказ, отрицать
Разрешить от всех
Удовлетворять любые
Таким образом, доступ к панели входа будет доступен только через предопределенные IP-адреса. Вы можете ввести там больше адресов, просто добавив больше строк:
разрешить из xx.xx.xx.xxx
разрешить из xx.xx.xx.xxx
или с областью действия, например:
разрешить с 77.25.25. *
Последний вопрос: что, если я уже подвергся нападению?
Это хороший вопрос, потому что многие владельцы сайтов даже не знают, что их сайт заражен. Они узнают это слишком поздно: когда сайт буквально погружается в результаты поиска или вообще не работает.
Несомненно, мы не являемся спецификаторами безопасности, и мы не сможем обнаружить инфекции, поэтому давайте сосредоточимся на симптомах. Итак, если страница:
Он загружается намного медленнее, чем раньше,
Минимальное изменение макета контента без нашего вмешательства,
Он не позволяет вам войти в кабину WordPress.
Это первые признаки беспокойства. Чтобы проверить это, у вас есть несколько способов:
1. Проверьте, как он отображается в результатах поиска вашей страницы, например, с помощью команды:
сайт: www.twoj-adres. pl и проверьте, не отображается ли сноска: «Возможно, этот сайт стал жертвой хакерской атаки».
2. Если вы используете Google Search Console (потому что вам нужно!), То войдите в консоль и посмотрите, есть ли какие-либо уведомления об этой инфекции.
3. Проверьте копию страницы, созданной Google (в результатах поиска указана зеленая стрелка на адрес страницы, а кнопка -> Копировать.) Если сайт используется для рассылки спама, то вы увидите дополнительный контент и ссылки на другие сайты.
4. Сканируйте свой сайт с помощью онлайн-сканера VirusTotal и узнайте, обнаруживает ли он подозрительный код.
В большинстве случаев на любой контрольной точке вы должны обнаружить потенциальную зараженность страницы.
Я надеюсь, что вы будете следовать по крайней мере половине рекомендаций в этом руководстве, чтобы вы могли свести к минимуму риск взлома и заражения веб-сайта вашей компании. Я также не хочу, чтобы вы читали это после того, как сказали, что WordPress уродлив и ярок, потому что это не так. Это отличная и простая в использовании CMS для всех.