Безопасность WordPress: какие меры нужно предпринимать, чтобы не стать жертвой злоумышленников?

В предыдущих публикациях мы неоднократно писали о WordPress, как о самой популярной CMS в мире. Эта опенсорсная система управления контентом сайта служит платформой для интернет-ресурсов любого масштаба: от standalone-блогов до корпоративных порталов. Однако открытый код и бесплатная базовая комплектация делают ее привлекательной не только для бизнеса и некоммерческих организаций, но и для злоумышленников, специализирующихся на взломах сайтов. В этой публикации мы поговорим о том, какие существуют угрозы для безопасности WordPress, как от них можно защититься, а также сделаем краткий обзор WP-плагинов, повышающих безопасность сайтов на этой CMS.

Основные угрозы безопасности WordPress

Все существующие методы взлома сайтов можно разделить на две группы: автоматические, осуществляющиеся автономными роботами и вредоносными программами, и ручные, предполагающие непосредственное участие хакера.

Автоматический взлом более распространен т.к. работает «по площадям»: как правило целью является не конкретный сайт, а широкий список, по которому работает вредоносное ПО. Подробнее о том, как защитить WordPress от DDoS-атак и ботов, мы уже рассказывали ранее в соответствующей статье. Ручной же взлом, как правило, нацелен на конкретных жертв и кроме «аппаратных» методов может допускать использование социальной инженерии.

Мотивов для взлома может быть очень много. Среди основных причин, по которым злоумышленники ломают сайты можно назвать следующие.

• Похищение сайта. База данных и все файлы сайта копируются и разворачиваются на новом хостинге и с другим доменным именем. Так злоумышленник может присвоить вашу интеллектуальную собственность.
• Мошенничество с помощью замены части информации на сайте, например — реквизитов, по которым с вами рассчитываются клиенты.
•  
• Использование вашего сайта, как узла для расширения своей противоправной деятельности. Так, злоумышленники могут тайно настроить редирект на собственные ресурсы для повышения их трафика. Или — рассылать вашим пользователям письма со ссылками на вредоносные программы. А также отжирать ваши сетевые ресурсы для личных целей, среди которых может быть и взлом по цепочке других сайтов.

Теперь давайте скажем несколько слов о наиболее уязвимых для атак областях в работе с WordPress-сайтами.

• Ненадежный хостинг-провайдер. Если сервера, на которых размещен ваш сайт, плохо защищены от хакерских атак, а их владелец не делает бэкапов — есть риск, что однажды вы лишитесь своего детища. Чтобы избежать этого, необходимо тщательно выбирать хостера. В Максиплейс мы можем предложить вашему вниманию надежный хостинг для одной из самых популярных CMS в интернете — доступной, гибкой и легкой в настройке с семидневным тестовым периодом.
• Небезопасные шаблоны. Часто в бесплатных темах для WordPress силами злоумышленников обнаруживаются уязвимости, через которые в дальнейшем ваш сайт легко будет взломать. Частично застраховаться от этого можно лишь следя за репутацией поставщиков и, по возможности, прибегая к коммерческим решениям в области дизайна сайта.
• Уязвимые плагины. Также как и с шаблонами, источниками уязвимости могут выступать WordPress-плагины с сомнительной репутацией, скачанные из непроверенных источников. Еще большую опасность представляет собой копирование на сайт чистого кода неизвестного происхождения.
• Ненадежный пароль. Значительная часть сайтов взламывается в ручном или автоматическом режиме благодаря слишком простым или коротким паролям, чувствительным к взлому методами брутфорса или перебора.

Основные методы повышения безопасности сайта

Какие бы цели не преследовали злоумышленники, важно понимать, что более-менее надежную защиту от их происков может обеспечить лишь комплексный подход к настройкам безопасности. Так, хотя в зоне риска всегда будут находиться в первую очередь сайты, работающие на старых версиях WordPress или, например, использующие много постороннего кода, одна лишь своевременная установка обновлений и удаление сомнительных плагинов не смогут на 100% гарантировать вашу безопасность. Давайте подробнее рассмотрим какие меры необходимо предпринимать, чтобы защитить сайт на WordPress.

I. Своевременные бэкапы

Самая радикальная и при этом надежная защита от всех проблем — грамотно настроенное резервное копирование вашего сайта. Даже если он все-таки будет взломан, вы в любой момент сможете поднять его из бэкапа снова. Главное не забывать, что в бэкапе должны быть не только файлы сайта, но и его SQL-база.

По возможности таких бэкапов должно быть несколько. Один хранится на самом хостинге и у надежных хостинг-провайдеров делается несколько раз в сутки в автоматическом режиме — как правило это регламентируется тарифным планом.

Остальные бэкапы должны храниться как оффлайн (на флэш-носителе), так и в облаке (облачный сервис, не связанный напрямую с вашим хостером) и обновляться несколько раз в неделю или несколько раз в месяц, в зависимости от скорости обновления информации на вашем сайте и, соответственно, чувствительности вашего бизнеса к потере данных за тот или иной отрезок времени.

Процесс создания бэкапов существенно облегчают надежные WordPress-плагины, среди которых имеет смысл выделить Duplicator, UpdraftPlus и WordPress Backup to Dropbox. Последние два позволяют автоматизировать резервное копирование сайтов на облачные площадки.

II. Сокрытие сведений о сайте

Информация о том, какой версией WordPress вы пользуетесь и какие у вас установлены плагины, может существенно сузить круг поисков уязвимостей для злоумышленников. Поэтому важной профилактической мерой является удаление этих сведений из публичного доступа. Как это делается?

• Убираем из корневого каталога файлы readme.html и license.txt;
• Проверяем примечания HTML-кода сайта: если в них упоминаются названия плагинов или номера версий — удаляем эту информацию;
• Проверяем, нет ли на сайте в открытом доступе личных данных его владельцев: электронная почта, телефоны, номера документов и т.д.;
• Используя директивы .htaccess, блокируем браузерный доступ как к этому конфигу, так и к install.php, wp-config.php и другим системным файлам, а также каталогам.

III. Защита админки WordPress

Чтобы снизить риск получения злоумышленниками доступа к вашей WP-админке, можно прибегнуть к маскировке. Большинство ботов для автовзлома будут пытаться залогиниться через wp-login.php. Смена адреса доступа отсечет большую часть из них.

Также имеет смысл поменять стандартный логин «Admin» на какой-то другой т.к. под него в автоматическом режиме могут методом брутфорса подбираться пароли. Нужно создать новую учетку с менее очевидным именем, выдать ей права администратора, придумать сложный пароль, использующий сочетание цифр, орфографических знаков и букв разного регистра, а старую — удалить.

Кроме того, можно установить плагины, блокирующие подозрительные IP-адреса, с которых осуществляется попытка зайти в админку с помощью брутфорса и анализирующие уязвимости вашего шаблона, например — Login LockDown и Revisium WordPress Theme Checker.

В качестве радикальной меры можно вообще настроить белый список айпишников, с которых можно зайти в админку, однако следует помнить, что тогда у вас могут возникнуть сложности с доступом через VPN. Вообще, использование virtual private network — с одной стороны вещь, без которой часто бывает не обойтись в современном мире, с другой — палка о двух концах, т.к. ваши данные передаются через сторонние сервера, откуда в теории также могут быть похищены.

Через VPN работает большинство сервисов, предлагающих защиту Wi-Fi соединения в общественных сетях. Однако мы советуем по возможности не заходить в админку своего сайта при помощи соединения, которым пользуется кто-то еще, независимо от того, защищены они паролем или нет — огромный процент случаев взлома приходится именно на работу в публичных сетях.

IV. Установка SSL-сертификата безопасности

Участники многих распределенных команд и фрилансеры часто не имеют доступа к проверенному Wi-Fi. Чтобы хоть как-то обезопасить заходы в админку сайта из неочевидных мест, необходимо использовать SSL-сертификат, чтобы передавать данные по защищенному HTTPS-протоколу.

В одной из публикаций мы уже подробно описывали процесс приобретения и подключения сертификата. Добавим здесь лишь, что в случае с WordPress делать это удобно с помощью специальных плагинов, например Really Simple SSL, который позволяет автоматизировать процесс активации сертификата, корректирует данные в .htaccess и заменяет все ссылки, содержащие HTTP на HTTPS. Также редирект с незащищенного протокола на защищенный можно настраивать с помощью плагинов WP Force SSL и Easy HTTPS Redirection.

В Максиплейс вы можете приобрести нужный SSL-сертификат с проверкой домена в течении 2-х минут по лучшей цене на рынке, что существенно повысит безопасность сайтов WordPress, которые вам принадлежат.

V. Подключение 2FA для входа в админку

Еще одна мера по защите админки WordPress от взлома заключается в дополнительной аутентификации по коду, приходящему на телефон владельца сайта в виде SMS-сообщения или push-уведомления. В этом случае, даже если злоумышленник смог подобрать логин и пароль, вход в админку для него все равно будет заказан.

Система 2FA также настраивается в WordPress с помощью плагинов, например Google Authenticator — Two Factor Authentication (2FA), Duo Two-Factor Authentication и Rublon Two-Factor Authentication.

Единственный ее недостаток состоит в том, что вы начинаете зависеть ее и от оператора сотовой связи и, если по какой-то причине на его стороне вам на мобильное устройство не будет приходить код, попасть в админку также будет проблематично. Кроме того, потеря или поломка sim-карты потребует ее перевыпуска для прохождения двухэтапной аутентификации.

VI. Настройка капчи для WordPress

Еще одна достаточно популярная технология, отсекающая большую часть вредоносных ботов — это капча. Капчой принято называть специальный защитный код, который показывается в виде всплывающего окна или картинки. Хотя этому дополнительному способу аутентификации уже почти два десятка лет, он все еще достаточно эффективен для защиты от роботов. В WordPress капчой можно защищать форму регистрации, а также формы для ОС, комментариев и оформления заказов. Для установки капчи в WordPress можно воспользоваться как родными плагинами платформы, так и API, через которые капчу можно будет подключить из внешнего сервиса.

VII. Установка обновлений WordPress

Наиболее распространенная причина взлома сайтов на WordPress — уязвимости из старых версий, попавшие в открытый доступ. Соответственно, чтобы минимизировать этот риск, нужно регулярно устанавливать свежие обновления, в которых разрабы уже позакрывали эти дыры. Защита сайта на WordPress начинается с мониторинга выхода новых версий и скрупулезного отношения к апдейтам.

Однако здесь важно помнить, что самостоятельная корректировка кода WP-движка скорее всего заблокирует для вас возможность накатывать обновления. Поэтому, если вы хотите оставаться защищенным в этой плоскости, любые правки кода следует ограничить шаблонами и functions.php, главным файлом темы, в котором хранятся ее функции.

В любом случае обновление WordPress должно предваряться бэкапом т.к. нередки случаи, что под ново версией перестанут работать устаревшие плагины или что-то начнет отображаться не вполне корректно.

VIII. Удаление сомнительных плагинов и кусков чужого кода

Платформа WordPress предлагает своим пользователям огромное число плагинов на все случаи жизни. В результате при долгом использовании этой CMS у вас может накопиться большое число плагинов, которыми вы давно не пользуетесь или которые устарели и перестали работать правильным образом. Важно регулярно проводить «расхламление» не только деактивируя, но и полностью удаляя все лишнее. Ведь избыточное число плагинов — это не только гарантия замедления работы сайта, но и риск получить куски кода от злоумышленников.

В целом же продвинутым специалистам можно посоветовать стараться заменять плагины, кроме самых необходимых, на чистые JavaScript и PHP-код. Однако важно или писать этот код самому или брать из надежных источников, чтобы не занести вирус.

IX. Безопасность персонального компьютера

Как бы надежен ни был ваш хостинг-провайдер, и какими бы плагинами не был защищен сам сайт от атак, вы можете лишиться его, если точкой отказа станет машина, с которой вы заходите в административную панель, а то и в ISP-панель хостинга. Если вы сохраняете в cookies своего браузера логины и пароли, то злоумышленник, проникнувший в ваш персональный или рабочий компьютер, сможет с легкостью попасть всюду, где нет 2FA.

Чтобы избежать этой печальной участи, необходимо соблюдать базовые правила безопасности для ПК. Старайтесь использовать только лицензионное ПО и регулярно обновляйте его. Не запускайте никакие установочные файлы, полученные из сомнительных источников. Не пренебрегайте антивирусом и не отключайте брандмауэр. Используйте только надежные пароли; важно, чтобы они были разными для вашей учетной записи и разных сервисов. Не сохраняйте пароли в браузере, регулярно чистите кэш и т.д.

X. Безопасность электронной почты

Еще одна потенциальная точка отказа — e-mail, на который зарегистрированы ваши профили в WordPress и кабинет у хостера. Если злоумышленники смогут взломать ее, они смогут сбросить пароли к FTP-серверу, домену, админке сайта, ISP-панели хостинга и т.д.

Чтобы избежать проблем, важно привязывать домен и хостинг к отдельному почтовому адресу, созданному специально для этих нужд. Адрес не должен быть публичным, не должен совпадать с вашими официальными контактами, чтобы потенциальный недоброжелатель вообще не мог узнать о его существовании. Важно заводить почтовый ящик у надежного почтового сервиса, например на том же Gmail, и также защищать с помощью 2FA. При обнаружении писем с подозрительными ссылками — не следует переходить по ним, также не следует открывать файлы во вложениях.

XI. Социальная инженерия

Мы перечислили основные «технические» уязвимые для взлома места WordPress-сайтов. Осталось поговорить о человеческом факторе или, иначе говоря, группе методов взлома, известных под зонтичном термином «социальная инженерия». Вас не спасет никакая защита, если вы сами назовете злоумышленнику все необходимые данные и назовете номер кода подтверждения, пришедшего на телефон. Если вы являетесь владельцем сайта — старайтесь держать этот факт при себе и не пересылайте никому параметры, по которым к вашему сайту можно подключиться по FTP или логин-пароль от админки. Помните, что киберпреступники могут попытаться имитировать работу службы поддержки вашего хостера, вашего IT-отдела, представляться вашим начальником, правоохранительными органами и т.д. — ни при каких обстоятельствах не спешите сообщать третьим лицам данные для доступа к вашему интернет-проекту. Защита WordPress от хакеров начинается с вас самих.

Резюме

Поскольку львиная доля сайтов в интернете и по сей день работает на такой CMS, как WordPress, эта платформа за счет открытого кода является предметом интереса для киберпреступников всех мастей. Чтобы не потерять свой сайт и не получить репутационный и финансовый урон, необходимо придерживаться правил безопасности.

Одним из важнейших факторов безопасности WordPress, который важно отметить отдельно — репутация и методы защиты вашего хостинг-провайдера. Высокая квалификация инженеров Максиплейс — гарантия того, что ваш бизнес будет в надежных руках, если вы решите разместить его в нашем облаке. Воспользовавшись услугами нашей команды, вы можете быть уверены, что ваш сайт на WordPress будет надежно защищен от происков любых недоброжелателей.