WordPress уже более десяти лет является одной из ведущих систем управления контентом (CMS). Многие из крупнейших блогов в Интернете, а также множество небольших и отдельных сайтов работают на платформе WordPress для публикации текстового, графического и видеоконтента во всемирной паутине.
Веб-сайт WordPress имеет как внешний, так и внутренний интерфейс. Внешний интерфейс обеспечивает представление, которое будут видеть внешние посетители при загрузке веб-страницы. Администраторы сайта и участники, ответственные за написание, проектирование и публикацию контента, могут получить доступ к серверной части.
Как и любая другая интернет-система, WordPress является целью попыток взлома и других форм киберпреступности. Это имеет смысл сейчас, учитывая, что более 32% Интернета работает на WordPress. В этой статье мы рассмотрим некоторые из наиболее распространенных атак WordPress на программное обеспечение, а затем предложим советы, как от них защититься и обеспечить безопасность вашего сайта.
Распространенные методы атаки WordPress
Давайте сначала рассмотрим типичные атаки, с которыми могут столкнуться владельцы сайтов WordPress.
1. SQL-инъекция
Платформа WordPress CMS построена на уровне базы данных, в которой хранятся метаданные, а также другая административная информация. Например, типичная база данных WordPress на основе SQL будет содержать информацию о пользователях, информацию о контенте и данные конфигурации сайта.
Когда хакер выполняет атаку с использованием SQL-инъекции, он использует параметр запроса либо через поле ввода, либо через URL-адрес, чтобы выполнить пользовательскую команду базы данных. Запрос «SELECT» позволит хакеру просматривать дополнительную информацию из базы данных, а запрос «UPDATE» позволит ему фактически изменить данные.
В 2011 году компания по сетевой безопасности Barracuda Networks стала жертвой атаки с использованием SQL-инъекции. Хакеры запустили серию команд на веб-сайте Barracuda и в конечном итоге обнаружили уязвимую страницу, которую можно было использовать в качестве портала в основную базу данных компании.
2. Межсайтовый скриптинг
Атака с использованием межсайтовых сценариев, также известная как XSS, похожа на SQL-инъекцию. Вы соглашаетесь с тем, что он нацелен на элементы JavaScript на веб-странице, а не на базу данных, стоящую за приложением. Успешная атака может привести к компрометации личной информации внешнего посетителя.
При XSS-атаке хакер добавляет код JavaScript на веб-сайт через поле комментария или другой текстовый ввод, а затем этот вредоносный сценарий выполняется, когда другие пользователи посещают страницу. Несанкционированный JavaScript обычно перенаправляет пользователей на мошеннический веб-сайт, который пытается украсть их пароль или другую идентифицирующую информацию.
Даже популярные веб-сайты, такие как eBay, могут стать объектом XSS-атак. В прошлом хакеры успешно добавляли вредоносный код на страницы продуктов и убеждали клиентов войти на поддельную веб-страницу.
3. Внедрение команд
Такие платформы, как WordPress, работают на трех основных уровнях: веб-сервер, сервер приложений и сервер базы данных. Но каждый из этих серверов работает на оборудовании с определенной операционной системой, такой как Microsoft Windows или Linux с открытым исходным кодом, и это представляет собой отдельную потенциальную область уязвимости.
При атаке с помощью инъекции команд хакер вводит вредоносную информацию в текстовое поле или URL-адрес, аналогично SQL-инъекции. Разница в том, что код будет содержать команду, которую распознают только операционные системы, например команду «ls». При запуске отобразятся все файлы и каталоги на хост-сервере.
Некоторые камеры, подключенные к Интернету, были особенно уязвимы для атак с вводом команд. Ваша микропрограмма может некорректно раскрывать конфигурацию системы для внешних пользователей при подаче фиктивной команды.
4. Включение файла
Общие языки веб-кодирования, такие как PHP и Java, позволяют программистам ссылаться на внешние файлы и сценарии из своего кода. Команда «include» – это общее название для этого типа деятельности.
В определенных ситуациях хакер может манипулировать URL-адресом веб-сайта, чтобы скомпрометировать раздел кода, “включающий”, и получить доступ к другим частям сервера приложений. Было обнаружено, что некоторые плагины для платформы WordPress уязвимы для атак включения файлов. Когда происходят такие атаки, злоумышленник может получить доступ ко всем данным на основном сервере приложений.
Советы по защите
Теперь, когда вы знаете, что искать, вот несколько простых способов усилить безопасность WordPress. Очевидно, что существует гораздо больше способов защитить ваш сайт, чем перечисленные ниже, но это относительно простые методы для начала работы, которые могут принести впечатляющую прибыль разочарованным хакерам.
1. Используйте безопасный хост и брандмауэр.
Платформа WordPress может запускаться с локального сервера или управляться через среду облачного хостинга. Для обеспечения безопасности системы предпочтительнее разместить на сервере. Лучшие хосты WordPress на рынке будут предлагать шифрование SSL и другие формы защиты.
При настройке среды, размещенной на WordPress, очень важно включить внутренний брандмауэр, который защищает соединения между вашим сервером приложений и другими сетевыми уровнями. Брандмауэр будет проверять действительность всех запросов между уровнями, чтобы гарантировать, что могут обрабатываться только законные запросы.
2. Своевременно обновляйте темы и плагины.
Сообщество WordPress полно сторонних разработчиков, которые постоянно работают над новыми темами и плагинами, чтобы использовать возможности платформы CMS. Эти плагины могут быть бесплатными или платными. Плагины и темы всегда следует загружать прямо с сайта WordPress.org.
Внешние темы и плагины могут быть рискованными, поскольку они включают код, который будет работать на вашем сервере приложений. Доверяйте только тем плагинам, которые получены из надежного источника и разработчика. Кроме того, вам следует регулярно обновлять плагины и темы, поскольку разработчики будут выпускать улучшения безопасности.
В консоли администратора WordPress вкладку «Обновления» можно найти в верхней части списка в меню «Панель управления».
3. Установите антивирус и VPN.
Если вы используете WordPress локально или имеете полный доступ к серверу через своего хостинг-провайдера, вам необходимо убедиться, что в вашей операционной системе установлен надежный антивирус. Бесплатные инструменты для сканирования вашего сайта WordPress, такие как Virus Total, проверят все ресурсы на наличие уязвимостей.
При подключении к среде WordPress из удаленного местоположения вы всегда должны использовать клиент виртуальной частной сети (VPN), который гарантирует, что вся передача данных между вашим локальным компьютером и сервером будет полностью зашифрована.
4. Блокирование атак методом грубой силы.
Одна из самых популярных и распространенных атак WordPress принимает форму так называемых атак грубой силы. Это не что иное, как автоматизированная программа, которую хакер бросает у «входной двери». Вы сидите и пробовали тысячи различных комбинаций паролей и натыкаетесь на правильный достаточно часто, чтобы оно того стоило.
Хорошая новость заключается в том, что есть простой способ предотвратить грубую силу. Плохая новость в том, что многие владельцы сайтов не внедряют это решение. Взгляните на All in One WP Security and Firewall. Это бесплатно и позволяет установить строгий лимит попыток входа в систему. Например, после трех попыток плагин блокирует сайт, чтобы предотвратить дальнейшие входы с этим IP-адресом в течение заранее определенного периода времени. Вы также получите уведомление по электронной почте о том, что функция блокировки активирована.
5. Двухфакторная аутентификация.
Этот оригинальный метод защиты вашего сайта основан на том факте, что хакер, вероятно, не сможет получить контроль над двумя вашими устройствами одновременно. Например, компьютер И мобильный телефон. Двухфакторная аутентификация (2FA) делает вход на ваш веб-сайт в два этапа. Как обычно, вы входите в систему регулярно, но затем вам будет предложено ввести дополнительный код, отправленный на ваш телефон.
Умно, а? Этот дополнительный шаг увеличивает безопасность вашего сайта в геометрической прогрессии за счет разделения входа на несколько шагов. Ознакомьтесь с этим списком бесплатных плагинов, которые помогут вам настроить 2FA. Хакеры, которые думали взломать ваш сайт, вероятно, уже передумали.
вывод
Хотя 100% безопасного веб-сайта не существует, вы можете предпринять множество шагов, чтобы защитить свой сайт. Использование хорошего брандмауэра, своевременное обновление тем и плагинов, а также регулярное сканирование на вирусы могут иметь большое значение.
Может быть полезно думать о безопасности веб-сайта как о вечном итеративном процессе. Никогда не должно быть момента, когда вы возвращаетесь и думаете, что вы «закончили», потому что игра между хакерами и защитниками веб-сайтов никогда не прекратится, даже официально санкционированные онлайн-игроки попадут в бизнес онлайн-наблюдения. Только будучи в курсе последних угроз и способов их отражения, вы сможете поддерживать кибербезопасность и конфиденциальность в Интернете.
Жаль, что мир должен быть таким, но примите это и двигайтесь дальше. Если вы никогда не делали этого раньше, сейчас самое время найти несколько уважаемых новостных сайтов в области кибербезопасности. Подпишитесь на их информационный бюллетень или хотя бы посещайте их регулярно. Начните с поиска в Google (или поисковой системе по вашему выбору) по запросу «новости кибербезопасности».
У вас есть вопросы или дополнительные советы? Оставьте свой комментарий и дайте нам знать.
