<
  • Главная
Статьи

Аудит безпеки WordPress сайту. 11 кроків перевірки безпеки

  1. вступ
  2. Проблеми безпеки WordPress
  3. Як хакери зламують сайти WordPress
  4. Ще варіанти зломів
  5. Як проводити аудит безпеки WordPress сайту
  6. актуальність версії
  7. Префікс бази даних
  8. прості логіни
  9. Приберіть простий пароль адміністратора
  10. двухфакторная аутентифікація
  11. ключі безпеки
  12. Актуальність активних і пасивних плагінів сайту
  13. неактивні користувачі
  14. Резервне копіювання
  15. Видаліть зайві файли
  16. плагін безпеки
  17. плагін Wordfence
  18. iThemes Security
  19. Defender Security
  20. Sucuri Security
  21. BulletProof Security
  22. SecuPress Free - WordPress Security
  23. SiteLock Security
  24. висновки

вступ

Безпека і як наслідок нормальна робота сайту залишається актуальною вже багато років. Не секрет, що сайти, створені на CMS WordPress, особливо активно піддаються сторонньому втручанню. Для періодичної перевірки захищеності сайті, існує ряд дій, які прийнято називати аудит безпеки WordPress сайту. Про нього мова в цій статті.

Проблеми безпеки WordPress

Під безпекою сайту, розуміємо закриття потенційних і існуючих можливостей проникнути в код сайту для впровадження вірусних кодів, а також спам атак сайту через форми коментування та зворотного зв'язку. Якщо другий варіант, загроз безпеки, можна віднести до незручностей адміністрування, мало впливає на функціонал сайту, то проникнення в код загрожує від періодичного крадіжки контенту, до злодійства сайту цілком.

Основні проблеми безпеки WordPress це їх динамічність і прихованість. Під динамічністю розуміємо, все нові варіанти зламати сайт. Скритність, має на увазі неможливість зрозуміти, що сайт зламаний без спеціальних інструментів аналізу.

Аудит безпеки WordPress сайту

Як хакери зламують сайти WordPress

При написанні коду майже неможливо не створювати ніяких дірок в безпеці. Коли хакери знаходять ці уразливості, вони використовують їх, і ви залишаєтеся з вразливим сайтом. Існують і інші способи, якими сайт може стати вразливий, включаючи людські помилки, такі як використання паролів, які легко вгадати, а також небезпечний або ненадійний хостинг.

Існує ряд часто використовуваних і потенційних вразливостей WordPress, він включає:

  • SQL Injection (SQLI) - виникає, коли SQL-запити можуть вводитися і виконуватися з URL-адреси сайту;
  • Міжсайтовий скриптинг (XSS) - хакер може вводити код в сайт, як правило, через поле введення;
  • Завантаження файлу зі шкідливим кодом на незахищений сервер;
  • Підпрограма запиту на міжсайтовий запит (CSRF) - код або рядки вводяться і виконуються з URL-адреси сайту;
  • Brute Force - Метод підбору. Постійні спроби увійти в систему, вгадуючи ім'я користувача і пароль облікового запису адміністратора;
  • Відмова в обслуговуванні (DoS) - коли сайт падає через постійного потоку трафіку, що виходить від хакбота;
  • Розподілена відмова в обслуговуванні (DDoS). Подібно атаці DoS, за винятком того, що hackbot відправляє трафік з кількох джерел, таких як заражені комп'ютери або маршрутизатори;
  • Open Redirect - впроваджується код і сторінка сайту, постійно перенаправляється на іншу сторінку, встановлену хакером зі спамом або на інший сайт (фішингових) сайт;
  • Фішинг (крадіжка особистих даних) - сайт або сторінка, створена хакером, яка схожа на добре відомий, загальноприйнятий сайт, але використовується для збору облікових даних для входу в систему, обманюючи користувача для введення їх відомостей;
  • Розповсюдженні шкідливих програм - шкідливий скрипт або програма з метою зараження сайту або системи;
  • Локальне включення файлів (LFI) - зловмисник може контролювати, який файл виконується в запланований час, встановлений CMS або веб-додаток;
  • Обхід аутентифікації - діра в безпеці, що дозволяє хакеру обійти реєстраційну форму та отримати доступ до сайту;

Ще варіанти зломів

  • Повне розкриття шляху (FPD). Коли шлях до веб-сайту сайту розкривається, наприклад, коли видно листи каталогу, помилки або попередження;
  • Список користувачів. Можливість визначення дійсного імені користувача для його подальшого використання Ватаку з використанням «тупого» додавання імені в кінець URL-адреси сайту WordPress. Це дасть ідентифікатор користувача, який може повернути профіль автора з дійсним ім'ям користувача;
  • XML External Entity (XXE) - XML-вхід, який посилається на зовнішній об'єкт і погано обробляється неправильно налаштованим парсером XML і може привести до розкриття конфіденційної інформації;
  • Обхід безпеки - аналогічно обхід аутентифікації, за винятком того, що хакер може обійти існуючу систему безпеки, щоб отримати доступ до деякої частини сайту;
  • Віддалене виконання коду (RCE). Хакер має можливість виконувати довільний код на машині або сайті з іншого комп'ютера або сайту;
  • Включення віддаленого файлу (RFI). Використання на сайті посилання на зовнішній скрипт, з метою завантаження шкідливого ПО з абсолютно іншого комп'ютера або сайту;
  • Підробка запиту на стороні сервера (SSRF). Коли хакер може керувати сервером частково або повністю, щоб змусити його виконувати запити віддалено;
  • Обхід каталогу. Випадки, при яких HTTP може бути використаний для доступу до каталогів сайту і виконання команд за межами кореневого каталогу сервера;

Хоча це не повний список вразливостей WordPress, вони є найбільш поширеними способами злому сайту, за допомогою бота. Можуть бути застосовані кілька методів одночасно. Джерело списку вразливостей: https://premium.wpmudev.org

Як проводити аудит безпеки WordPress сайту

Подивимося основні заходи, які потрібно включити в аудит безпеки WordPress сайту.

актуальність версії

Перш за все, переконайтесь, що ваша версія WordPress актуальна і оновлена ​​до останньої версії. Варто віддати належне розробникам системи і спільноті WordPress, вони постійно стежать за виникаючими проблемами уразливості. У найкоротші терміни після виявлення уразливості, випускаються релізи безпеки з її усуненням. Так що, перевірка версії системи це перший крок в комплексному аудиті безпеки.

Префікс бази даних

Це потрібно було робити під час установки. Раніше, під час установки система всім виставляла префікс бази даних wp_. Це вразливість. Зараз, система пропонує (якщо я не помиляюся) для префікса довільні символи. Як би там не було, префікс бази даних у вигляді двох букв [wp_] потрібно змінити і використовувати для префікса 4 цифри і / або букви (можна більше). Як змінити префікс робочого сайту читати Як поміняти префікс бази даних WordPress .

прості логіни

Виключіть з користувачів і не допускайте реєстрації тих, хто в якості логіна (імені користувача) вибрав логіни «administrator», «admin». Якщо з якихось причин, ви має такий логін, спочатку створіть нового користувача з правами «адміністратор», поміняйте автора у статей і видаліть користувачів «administrator», «admin».

Чому це важливо? Логіни «administrator», «admin» використовуються першими в варіанті проникнення н сайт через підбір паролів.

Приберіть простий пароль адміністратора

В продовження боротьби з підбором, поміняєте легкий пароль адміністратора або адміністраторів, якщо їх декілька. З недавніх пір на WordPress варто генератор складних паролів, якого цілком достатньо для створення складного пароля. Подивитися і поміняти пароль можна на вкладці Користувачі >>> ваш профіль.

Якщо вас не влаштовує вбудований генератор паролів, використовуйте сторонній тут (http://randstuff.ru/password/) або тут (http://www.webtoolhub.com/tn561383-random-password-generator.aspx).

двухфакторная аутентифікація

Якщо ви пред'являєте підвищені вимоги до безпеки сайту, активуйте двухфакторную аутентифікацію. Не забувайте, що для такої авторизації знадобиться робочий телефон або діючий email. Не забувайте, що двухфакторная аутентифікація пошириться на всіх ваших користувачів.

ключі безпеки

Сучасний спосіб установки WordPress, дозволяє встановлювати систему без безпосереднього редагування файлу конфігурації. Тобто, вже давно можна обходити ручну правку файлу wp-config.php, в текстовому редакторі.

А саме в цьому файлі є набір ключів безпеки, який потрібно періодично міняти. У цьому файлі є посилання на зміну ключів, ось вона: https://api.wordpress.org/secret-key/1.1/salt/. Перейдіть по посиланню, візьміть набір ключів і в текстовому редакторі замініть їх у файлі wp-config.php.

Примітка: якщо ви давно не міняли ключі, краще це зробити зараз.

Актуальність активних і пасивних плагінів сайту

Нагадаю, що поновлення CMS WordPress робляться не тільки для зміни функціоналу сайту, але і для виправлення безпеки системи. Як наслідок, оновлення плагінів теж частина виправлення безпеки. Якщо ви використовуєте плагіни, що не оновлюються, тобто ймовірність злому сайту через ці плагіни.

Саме тому, все не оновлювані плагіни позначаються, як потенційно небезпечні.

неактивні користувачі

Система WordPress спочатку створювалася дуже інтерактивною. Можливість коментування, реєстрація, відправлення повідомлень, все це елементи інтерактивного спілкування з користувачами входять в версію коробочки.

Давно помічено, що на одного «живого» користувача, реєструється десяток «пустушок» або «ботів». При атаках спам ботів, ці показники збільшуються значно.

Зазвичай, при організації безпеки сайту, ставиться захист від спам реєстрації. Однак, навіть «живих» користувачів, потрібно періодично просівати. Видаляйте, зареєстрованих користувачів, що не проявляють активність на сайті. Помічено, що вони можуть використовуватися для спроб злому.

Резервне копіювання

Якщо у вас немає рішень по постійному резервного копіювання сайту, потрібно його зробити. Вирішити проблему періодичного резервного копіювання сайту можна:

  • Налаштуванням резервного копіювання на вашому хостингу;
  • Установкою плагіна автоматичного резервного копіювання;
  • Періодичним ручним резервним копіюванням.

Важливо, щоб у вас підлогу рукою, завжди була свіжа резервна копія сайту.

Видаліть зайві файли

Після установки і настройки сайту видаліть з каталогу сайту, такі файли:

  • /wp-admin/install.php
  • wp-config-sample.php
  • readme.html

Якщо вам потрібно залишити файл конфігурації для вихідного зразка, просто його перейменуйте. Файл readme містить опис вашої версії WP, що також може стати елементом уразливості.

плагін безпеки

Завершіть аудит безпеки WordPress сайту установкою профільного плагіна.

Після півдюжини зломів сайту, я можу стверджувати, на сайті WordPress, обов'язково потрібно використовувати один з плагінів безпеки.

плагін Wordfence

Я використовую плагін Wordfence ( https://ru.wordpress.org/plugins/wordfence/ ). Відмінний плагін з безкоштовним і платним функціоналом.

Як альтернативу, рекомендую розглянути плагіни:

iThemes Security

https://ru.wordpress.org/plugins/better-wp-security/

Плагін iThemes Security має більше 30 функцій безпеки, які ви можете використовувати, і ви можете включити більше тонн, якщо будете оновлені.

Defender Security

https://wordpress.org/plugins/defender-security/

Defender Security є безкоштовним і неймовірно простим у використанні з інтуїтивно зрозумілим інтерфейсом і підійде щоб зробити, аудит безпеки WordPress сайту. За кілька кліків ви можете закріпити безпеку свого сайту. Також доступна версія преміум-класу, якщо вам подобаються інші методи безпеки, які ви також можете встановити і забути за пару кліків.

Sucuri Security

https://wordpress.org/plugins/sucuri-scanner/

Sucuri Security - популярний варіант захисту WordPress. У ньому є багато функцій, які вставляються в один плагін, а також в преміум-версію, якщо ви хочете включити додаткові функції.

BulletProof Security

https://wordpress.org/plugins/bulletproof-security/

Це плагін для безпеки і бази даних, все в одному, що допомагає скоротити кількість плагінів, які ви використовуєте, щоб прискорити ваш сайт. Доступна версія преміум-класу, яка включає в себе резервні копії всього сайту і багато інших функцій безпеки.

SecuPress Free - WordPress Security

https://wordpress.org/plugins/secupress/

За допомогою SecuPress ви можете сканувати свій сайт на наявність шкідливих програм, блокувати боти і підозрілі IP-адреси. Існує також версія преміум-класу з більш широкими можливостями.

SiteLock Security

https://wordpress.org/plugins/sitelock/

Безкоштовний плагін SiteLock має безліч цінних функцій безпеки і може сканувати ваш сайт на предмет вразливостей безпеки з оновленнями в реальному часі.

висновки

Можна ще довго перераховувати всі можливі кроки по підвищенню безпеки. Вони в наступній статті з безпеки, так як вимагають розширених пояснень. Однак, будемо вважати, що апріорі, більш серйозні захисту включені в функціонал плагінів, які я перерахував. У цій статті, будемо вважати, що аудит безпеки WordPress сайту, а точніше перевірка необхідних базових захистів сайту від злому проведена.

© www.wordpress-abc.ru

ще статті


Статті пов'язані з теми:

Чому це важливо?


Новости
  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью