Как убедиться, что ваш веб-сайт WordPress безопасен?

Два или несколько десятилетий назад ограбление ограничивалось взломом с целью кражи чьего-либо дохода или ценностей. Сейчас это были бы хулиганы и грабители, типа хакеров. Все, кто находит и использует уязвимости в программах для личных или политических целей.

Непосредственно перед тем, как я начну, вы должны знать, что этот пост не касается мельчайших деталей безопасности WP, а скорее обсуждает триггеры для уязвимостей WordPress. Если это не то, что вы ищете, я бы порекомендовал вам изучить — «Усиление безопасности WordPress — Полная информация для защиты веб-страниц WordPress». Тем не менее, я должен сказать, что понимание основной природы уязвимостей WP в предыдущем дает хорошее представление о том, как вы можете проверить протоколы защиты вашего сайта.

Почему люди делятся на сайты и центры знаний? Взлом интернет-сайтов, которые содержат информацию о клиентах, идентификаторы электронной почты, данные кредитных карт и т. д., приносит гораздо больше финансового вознаграждения, чем ограбление кредитора. Если у вас достаточно процветающий веб-сайт, я уверен, что сотни, если не бесчисленное количество попыток доступа к данным вашего веб-сайта уже были совершены.

Совсем недавно сайт AshleyMadison.com был взломан, и были украдены данные 37 миллионов покупателей. Хакеры потребовали закрыть сайт, в противном случае они обнародуют детали украденной информации пользователя, включая сексуальные фантазии. Это представляет вам стиль разрушения, который хакер может вызвать, просто получив доступ к фактам.

Глобальная веб-безопасность является чрезвычайно важной темой, и ее постоянное обострение определяет диапазон веб-сайтов, открывающихся для сбора личной информации и сведений о ее пользователях.

Целых 65% сети работает с WordPress в качестве процесса управления письменным контентом, поэтому в эти дни я буду обсуждать стабильность WordPress и то, как веб-сайты WP были проверены или взломаны в прошлом.

Зачем совершать отличные тактики безопасности?

• Вы в долгу перед своими покупателями и клиентами, которые полагаются на вас в отношении конфиденциальной личной информации и фактов, чтобы сохранить ее в безопасности.
• Ваш интернет-сайт взломан – вы теряете доход.
• Ваш веб-сайт взломан. Ваш рейтинг в поисковых системах падает почти в один конец.

Интернет-сайты WordPress взламываются тысячами, если не сотнями сотен. Не каждая веб-страница узнает, что она была взломана в предыдущей. Как вы могли догадаться, это не очень хорошая поддержка их торговой марки.

Я хотел бы пролить свет на требования к этому посту о безопасности WordPress.

Согласно исследованию, которым поделился Сандро Гуччи (основатель Permit Protection).

• 73,2% самых популярных установок WordPress подвержены уязвимостям, которые можно обнаружить с помощью бесплатных автоматических ресурсов.
• Только 7 814 сайтов (18,55%) обновились до WordPress 3.6.1, это была последняя версия WP на момент проведения теста.
• 13 034 веб-сайта (30,95%) продолжают работать с уязвимой версией WordPress версии 3.6. В WordPress 3.6 на тот момент было 5 признанных уязвимостей.

И если вы задумались, ну что ж, это всего лишь какая-то несправедливая обобщенная характеристика компактных незнакомых сайтов где-то на тусклом сайте, вы ошиблись. Данные были получены на основе обзора около 42 000 веб-сайтов WordPress на веб-сайтах Alexa Best A single Million. Это большой диапазон уязвимых сайтов для предположительно самых посещаемых интернет-сайтов во всемирной паутине. Эти сайты накапливают огромное количество информации о своих посетителях и подписчиках.

Данные были правильными по состоянию на сентябрь 2013 года, я не думаю, что они сильно отклонились бы, учитывая, что тогда, и даже если бы это было так, статистика, представленная в этой статье, демонстрирует масштаб проблем с безопасностью, которые преследуют WordPress.

Если вам нужны дополнительные доказательства того, что WordPress может быть скомпрометирован. Я отсылаю вас к исследованию Netcraft,

• В феврале 2014 года насчитывалось 12 000 блогов WordPress, которые служили платформами для фишинговых веб-страниц.
• Гораздо более 8% всех URL-адресов вредоносных программ, заблокированных Netcraft для распространения вредоносных программ, размещенных во всемирной сети, оказались в блогах WordPress.

Я должен указать, что не только один из отдельных блогов работает на Automattic wordpress.com. Это должно действительно очень четко показать, что даже WordPress может быть уязвимым, если не использовать его с осторожностью и некоторым пониманием защиты WP. Дополнительный мотив для этого вполне может быть связан с тем простым фактом, что все блоги, размещенные на wordpress.com, становятся актуальными практически сразу после запуска обновлений WordPress. Учитывая это, следует отметить, что автоматические обновления WordPress были запущены в модели WP 3.7 для защиты веб-сайтов от эксплойтов нулевого дня.

И даже после этого WordPress столкнулся с множеством проблем с безопасностью. Посмотрите на этот список уязвимостей WordPress в различных версиях платформы.

Теперь вы абсолютно ничего не можете сделать, чтобы остановить это, новые уязвимости, как правило, обнаруживаются. Основная группа WP очень серьезно отнеслась к стабильности и сделала WordPress намного безопаснее.

Но, как и в случае с другим популярным программным обеспечением, использование уязвимостей приносит дополнительное вознаграждение, когда сегодня их начинает использовать все больше людей.

Не веришь в меня? Если вы чувствуете, что каким-то образом WordPress внезапно станет абсолютно свободным от всех уязвимостей, изучите этот график!

Несмотря на то, что количество уязвимостей со временем снизилось по сравнению с пиковыми значениями в 2007 и 2014 годах, стимул к обнаружению новых уязвимостей и использованию их без конца растет благодаря растущей прибыльности из-за растущей репутации WordPress.

WordPress может быть безопасным из коробки, но сразу после включения нескольких плагинов/тем и индивидуального кода множество уязвимостей начинает быстро увеличиваться.

При этом мы можем внести небольшие улучшения в ваш WordPress, чтобы сделать его более защищенным. Сначала нам нужно иметь полное представление о безопасности WordPress, это очень полезно для выяснения причин сбоев в безопасности.

Вы можете быть ошеломлены, обнаружив, что редко бывает так, что основная система WP виновата в случаях нарушения стабильности. Гораздо более вероятно, что что-то, что у вас есть в вашем WP, создает уязвимость, которую могут использовать хакеры.

Как взламываются сайты WordPress?

Проблемы с обеспечением комплексной безопасности есть, нет этих вещей.

Предполагая, что ваш WordPress полностью защищен, у вас по-прежнему есть Apache, FTP-клиент, MySQL и любое приложение, работающее на вашем сервере, о котором вам нужно беспокоиться. Ваш сайт безопасен настолько, насколько безопасен его самый слабый URL. И это включает в себя качество пакета программного обеспечения вашего хоста, тем и плагинов, на которых работают ваши интернет-сайты.

Я хочу, чтобы у меня было намного больше последней статистики, которую я тоже могу вам показать. Тем не менее, этот обзор, представленный в виде инфографики в блоге WpWhiteSecurity, дает отличное представление о том, как взламываются веб-сайты WordPress и что может сделать их уязвимыми.

Исследование было проведено на основе информации о 170 000 веб-сайтов, которые были взломаны в 2012 году. Количество взломов увеличилось на 18% по сравнению с предыдущим календарным годом (2012), забавная деталь заключается в том, что количество уязвимостей не увеличилось. по той же самой пропорции. Но даже небольшое увеличение количества уязвимостей влияет на гораздо большее количество веб-сайтов из-за более широкого использования WordPress и продуктов, ориентированных на WordPress.

• 41% взломанных WordPress были взломаны из-за уязвимости в системе безопасности их хостинговой системы.
• 29% были взломаны из-за проблем со стабильностью в теме WordPress, которую они использовали.
• 22% были взломаны из-за проблем с защитой в плагинах WordPress, которые они использовали.
• 8% были взломаны в основном из-за слабого пароля.
• Из ранее упомянутого мы можем сделать вывод, что более 51% взломанных веб-сайтов WordPress были взломаны через уязвимость в темах или плагинах WordPress, с которыми они работали.

Разочаровывающая большая часть взломов произошла из-за установки программного обеспечения в виде плагинов, тем и просто потому, что поставщики услуг веб-хостинга не смогли достаточно повысить безопасность на сервере.

Нет никакого уровня в обсуждении шагов по защите вашего веб-сайта, прежде чем рассматривать отличные варианты, которые у вас есть в условиях защиты, когда речь идет о веб-хостинге, темах и плагинах. И я расскажу о том, как вы можете получить отличное стороннее программное обеспечение и безопасный и надежный хостинг для вашего веб-сайта, прежде чем я начну рекомендовать определенные шаги по обеспечению стабильности для повышения безопасности WP.

Вывод

Веб-сайты WordPress редко бывают уязвимы из-за ошибок в основном коде технологии управления информацией. Но веб-сайт не работает полностью на основе письменного метода управления контентом, ему требуется интернет-хост для размещения CMS в Интернете, темы, чтобы сделать его модным, и плагины для вставки необходимых функций. Включение нескольких слоев стороннего программного обеспечения для сбора данных в вашу установку WordPress может сделать вашу стабильность немного пористой, если это не будет сделано надлежащим образом.

Ваша главная страница WordPress, плагины и темы, а также сетевой хост должны быть подключены, чтобы ваша веб-страница WordPress работала. Этот диалог иногда имеет недостатки, и это делает веб-сайты уязвимыми.

Положительные 8% сайтов могут быть взломаны из-за слабых паролей. Продолжайте, подавляющее количество доказательств свидетельствует о том, что внедрение ужасно написанных плагинов / тем или интернет-хостинга, работающего на устаревшем программном обеспечении, является основным результатом взлома или закрытия большей части всех веб-сайтов WordPress.

Теперь, когда мы поняли некоторую ясность, связанную с уязвимостями WordPress, как элемент последующей публикации в серии WP Stability, я сосредоточусь на мерах, которые вам необходимо предпринять, чтобы повысить безопасность вашего WordPress.

Пожалуйста, поделитесь подробностями, если вы когда-либо сталкивались с тем, что ваш сайт WordPress был скомпрометирован хакером или стал жертвой DDOS-атаки. Возможно, Айгарс или я попытаемся решить проблему, если это в наших силах. Ваше здоровье