- «Вишенька на торті»
- WordPress або ...?
- перша істина
- друга істина
- третя істина
- Як власникам веб-сайтів на WordPress знизити ризики зараження
- Технічні інструменти захисту
- Організаційні заходи безпеки
- Відгуки про хостинг:
Сьогодні ми поговоримо про безпеку сайтів на WordPress.
«Вишенька на торті»
CMS WordPress - це найпопулярніша і найбільш поширена система в світі. За інформацією порталу w3techs.com, в даний час приблизно 27,7% всіх веб-сайтів в світі (частка ринку - 58,8%) використовують WordPress в якості блог-майданчиків, представництв власного бізнесу в Мережі і навіть для інтернет-магазинів.
Зрозуміло, популярність цього движка обумовлена відсутністю плати за його використання. До того ж, WordPress, напевно, - одна з найбільш комфортних і зручних CMS: швидкий старт онлайн-проекту і дуже проста експлуатація веб-сайту в подальшому, приємний і інтуїтивно зрозумілий адміністраторський інтерфейс, доступність великої кількості шаблонів і розширень, які допомагають вдосконалювати і розвивати сайт без глибоких знань.
Зворотний бік такої всесвітньої любові - це часті зломи веб-порталів на WordPress і добре вивчений зловмисниками код розширень. На жаль, проведення атак на WP - це низько бюджетне і вигідна справа все з тієї ж причини: проектів, які працюють на даному движку, набагато більше, ніж на інших, та й доступних засобів для злому сьогодні більш ніж достатньо.
Таким чином і за одну автоматизовану атаку (нецільову / масову) хакер може зламати, заразити істотно більше сайтів ніж на іншому движку.
Автоматизована масова атака - це атака на велику кількість сайтів, які згруповані за певною ознакою: наприклад, наявності аналогічних критичні вразливості в скриптах CMS, шаблонах або плагінах. При подібній атаці хакер застосовує автоматизовані засоби - спеціальні програми для зламу.
Ключові переваги масової автоматизованої атаки - це велика вибірка потенційних клієнтів для зараження, низька ціна злому, а також мінімально витрачений час для досягнення результату.
Так чи варто в цій ситуації залишатися на «улюбленої» хакерами майданчику? Чи не доцільніше, дійсно, перейти на який-небудь інший движок?
WordPress або ...?
Насправді тут все залежить від завдання, яке стоїть перед власником веб-сайту, і типу інтернет-проекту. Інтернет-магазин на CMS WordPress - це дуже ризикований і не найбільш оптимальний варіант (WordPress, все ж спочатку створювався зовсім не для e-commerce), і краще перейти на платний движок, створений спеціально для онлайн-торгівлі.
Високовідвідувані сайти теж потребують набагато більш серйозному вирішенні. Тому що подібного рівня веб-ресурси потрапляють в зону ризику і можуть легко залучати більш серйозних хакерів, які не проти повозитися з сайтом «вручну» і спробувати зламати його в рамках цільової атаки.
Але маленький новинний портал, персональний блог, всілякі регіональні інформаційні веб-проекти, Лендінзі можуть відмінно існувати і на безкоштовному движку. Треба лише заздалегідь подбати про їх повної безпеки.
Заражені інтернет-проекти на WordPress з легкістю лікуються і дуже просто захищаються. І ми не рекомендували б міняти CMS, якщо в цьому немає якоїсь особливої необхідності, згаданої вище (ecommerce спрямованість або великий трафік).
Почати треба не зі зміни движка, але зі зміни свого ставлення до різних питань безпеки: прийняття дуже простих істин.
перша істина
По-перше, під хакерською атакою або атакою ботів може виявитися практично будь-який веб-сайт. Сайти зламують як на безкоштовних CMS, так і на комерційних двигунах. Основне правило безпеки - це вчасно подбати про захист власного сайту від атак хакерів.
Практично будь-який середньостатистичний веб-ресурс без захисту може бути з легкістю зламаний хакерами в рамках автоматизованої масової кампанії, май він хоча б одну критичну уразливість в шаблонах, скриптах або плагінах. Це як особлива лотерея з поганим виграшем - ваш інтернет-ресурс може потрапити до вибірки хакерів для атаки, а може і не потрапити.
Інтерес хакерів, як дуже помилково міркують господарі невеликих сайтів, зосереджений не тільки на великих порталах. Навпаки, під масову роздачу може потрапити практично кожен сайт. Незалежно від його відвідуваності, популярності та інших характеристик.
Нецільова автоматизована атака - це атака наосліп. Веб-порушник не має поняття, які веб-сайти виявилися в його вибірці, якій тематиці вони присвячені і хто їх аудиторія. В одній зв'язці цілком може виявитися і портал регіонального дитячого сайту, і веб-сайт турагентства з Іспанії. Оскільки завдання хакера - не саме веб-сайт, а його надійний хостинг WordPress, де він буде розміщувати фішингові сторінки, шкідливі файли, дорвеи або з якого почне розсилати регулярний спам.
друга істина
По-друге, веб-ресурси зламують не тільки через якісь вразливості. Доступ до вашого сайту хакер може отримати і через перехоплення паролів до хостингу або сайту. Це може статися при зломі комп'ютера; при нерегулярній зміні паролів, особливо в тих випадках, коли за добу надавалися третім особам і ніяк надалі не контролювалися; або у випадках, коли адміністрування веб-проекту здійснювалося через ненадійне з'єднання з мережею (наприклад, через публічний WiFi в кафе, в торгових центрах і так далі). Як ви розумієте, це може статися не тільки з веб-сайтом на WordPress.
третя істина
По-третє, на тих хостингах, де немає спеціальної технічної ізоляції веб-ресурсів один від одного (тобто скриптами одного веб-проекту можна вносити зміни в файли другого сайту), сайт на цій CMS може бути зламаний через сусіда, який працює на інший CMS. Наприклад, хакер отримує доступ до порталу на Joomla і через нього вже ламає сайт на WordPress.
Власники заражених і зламаних сайтів часто зовсім незаслужено звинувачують у своїх проблемах хостинг провайдерів. Проте чи так це справедливо і чи є реальна загроза на стороні провайдера?
Ризик злому, зараження інтернет-ресурсу присутній в разі, якщо мова йде про доморослому і дрібному реселера. Звичайному приватнику, який взяв в оренду сервер і потім розпродає на ньому веб-простір за низькою ціною, таким чином привертаючи власників веб-сайтів. У цих випадках сервер часто вже не адмініструється належним чином.
Різні критичні уразливості зовсім не закриваються, серверне програмне забезпечення вчасно не оновлюється, а всі правила безпеки просто ігноруються.
Найбільші топові вітчизняні провайдери піклуються про безпеку власних серверів і активно інвестують в розвиток технологій. Однак хостинг провайдер не несе відповідальності за діряві движки і плагіни, на яких функціонують веб-ресурси його клієнтів. Безпека сайту - це завжди відповідальність його власника.
Варто відзначити, що сайти на цій CMS дуже часто заражаються самими ж власниками веб-ресурсів, які заради економії встановлюють на свої сайти безкоштовні плагіни і теми з неперевірених джерел з шкідливим кодом.
Резюмуючи все сказане вище, на місці сайту на цій CMS може виявитися будь-який інший сайт, зокрема реалізований на платній CMS, в разі якщо його власник буде постійно ігнорувати правила безпеки.
Як власникам веб-сайтів на WordPress знизити ризики зараження
Власники сайтів дуже часто мають обмежене уявлення, що таке безпека їх сайту. Одні думають, що розширення безпеки, встановлене на CMS WordPress - це гарант захисту проти вторгнень хакерів. Інші бачать безпеку сайту в частій зміні паролів і слідують золотому правилу, встановлюючи довгі і складні комбінації з букв, цифр і символів.
Треті медитують на спеціальні автоматичні лечилки - особливі сервіси, які можуть ніби як швидко видалити віруси з сайту і оперативно повернути їх до ладу повністю дієздатних. Четверті при непередбачених обставин і зовсім розраховують на чарівний бекап, який постійно створюється на хостингу.
І все-таки мало хто з власників сайтів в даний час реально розуміє, що безпека сайту - це комплекс регулярно виконуваних заходів, а не просто разова дія.
Безпека веб-ресурсу складається з двох головних елементів: технічних інструментів захисту, а також організаційних заходів безпеки.
Технічні інструменти захисту
Технічні інструменти захисту пов'язані з перенастроюванням хостингу і сайту, процесом цементування, що перешкоджає будь-якому несанкціонованому впровадження в файли веб-ресурсу шкідливих елементів; установкою на інтернет-сайт спеціального захисного екрану, який блокував би саму можливість здійснення атак на веб-сайт; а також захист адміністративної панелі від брутфорс-атак (тобто підбору паролів).
Цю частину питання можна закрити за допомогою залучених досвідчених фахівців з безпеки. Мова тут йде про разову процедурі, яку треба зробити лише один раз, але на професійному рівні.
Організаційні заходи безпеки
Організаційні заходи безпеки - набір різних правил управління доступами до хостингу, сайту, гігієна безпечного адміністрування веб-сайту, коректно організована робота з будь-якими підрядниками:
- Своєчасне і регулярне оновлення движка, всіх шаблонів і плагінів.
- Створення регулярних бекапів, їх збереження не тільки на хостингу, але також локально.
- Часта зміна паролів від хостингу і сайту.
- Профілактична перевірка інтернет-порталу на предмет злому, зараження. Тут будуть оптимальними безкоштовні інструменти: веб-сканер сторінок сайту ReScan.Pro і сканер файлів на хостингу AI-BOLIT.
- Робота з підрядникам на спеціальній договірній основі. Надання підрядникам виключно обмеженого доступу до хостингу і сайту для виконання певних завдань; зміна всіх паролів після закінчення завдань підрядником; виконання профілактичної перевірки інтернет-сайтів сканерами після надання доступів до хостингу і сайту третім особам.
- При роботі з інтернет-проектом через публічний WiFi застосування VPN або вихід в Мережу через LTE.
Організаційна частина - це зона відповідальності власника порталу (при наявності бюджету ця частина може бути віддана на аутсорсинг спеціальної команді, однак власники веб-сайтів на WordPress, в основному, не мають подібних бюджетом, тому контролювати це питання швидше за все доведеться, на жаль, самостійно ).
Відгуки про хостинг:
Так чи варто в цій ситуації залишатися на «улюбленої» хакерами майданчику?
Чи не доцільніше, дійсно, перейти на який-небудь інший движок?
Проте чи так це справедливо і чи є реальна загроза на стороні провайдера?