Взлом сайта на WordPress с помощью комментария — «Хакер»
На платформе WordPress работает пятая часть всех сайтов в интернете, так что малейшая уязвимость в CMS или популярных плагинах привлекает пристальное внимание. Тем более такой мега-баг, какой обнаружил финский хакер Йоуко Пюннёнен (Jouko Pynnönen) из компании Klikki Oy. Он раскрыл технические подробности в минувшее воскресенье.
Критическая уязвимость 0day (на момент публикации в воскресенье патча не было, но он вышел в понедельник) затрагивает встроенную систему публикации комментариев WordPress, которая до сих пор широко используется на многих сайтах. Оказывается, если опубликовать достаточно длинный комментарий (64k символов), то можно вызвать баг, который приводит к исполнению постороннего кода с этой HTML-страницы.
Образец комментария
<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAAAAA...[64 kb]..AAA'></a>Код будет исполнен для каждого, кто зайдёт на страницу с таким комментарием, в том числе на компьютере администратора системы, установив в системе бэкдор (видео).
Уязвимость актуальна для WordPress 4.2 и более ранних версий. Она похожа на аналогичный баг с комментариями, который исправили на прошлой неделе, но там исполнение кода инициировалось через специальный символ, а здесь — через объём комментария.
Патч вышел в понедельник 27 апреля: WordPress 4.2.1.
Поделись новостью с друзьями:
Простой способ взлома популярных CMS (WordPress, Joomla, DruPal и другие)
Небольшой мануал по использованию программы XAttacker. Поскольку программа создана проверять большое количество сайтов, то также покажу примеры составления списков сайтов.
Программа XAttacker умеет искать сайты по доркам (через Bing) или работать с вашим списком сайтов, затем автоматически определяет CMS у каждого сайта и проверяет наличие популярных уязвимостей. Поддерживаемые системы управления контентом: WordPress, Joomla, DruPal, PrestaShop и Lokomedia. Если уязвимость найдена, то на сайт закачивается шелл.
Поскольку проверки полностью автоматизированные, а список знакомых программе уязвимых плагинов ограничен, то самое очевидное применение программы:
- проверка целевого сайта когда времени очень мало
- проверка большого числа сайтов в поисках уязвимых
Программа знает о таких уязвимостях как:
[1] WordPress :
- [+] Adblock Blocker
- [+] WP All Import
- [+] Blaze
- [+] Catpro
- [+] Cherry Plugin
- [+] Download Manager
- [+] Formcraft
- [+] levoslideshow
- [+] Power Zoomer
- [+] Gravity Forms
- [+] Revslider Upload Shell
- [+] Revslider Dafece Ajax
- [+] Revslider Get Config
- [+] Showbiz
- [+] Simple Ads Manager
- [+] Slide Show Pro
- [+] WP Mobile Detector
- [+] Wysija
- [+] InBoundio Marketing
- [+] dzs-zoomsounds
- [+] Reflex Gallery
- [+] Creative Contact Form
- [+] Work The Flow File Upload
- [+] WP Job Manger
- [+] PHP Event Calendar
- [+] Synoptic
- [+] Wp Shop
- [+] Content Injection
- [+] Cubed Theme NEW
- [+] Rightnow Theme NEW
- [+] Konzept NEW
- [+] Omni Secure Files NEW
- [+] Pitchprint NEW
- [+] Satoshi NEW
- [+] Pinboard NEW
- [+] Barclaycart NEW
[2] Joomla
- [+] Com Jce
- [+] Com Media
- [+] Com Jdownloads
- [+] Com Fabrik
- [+] Com Jdownloads Index
- [+] Com Foxcontact
- [+] Com Ads Manager
- [+] Com Blog
- [+] Com Users
- [+] Com Weblinks
- [+] mod_simplefileupload
- [+] Com Facileforms NEW
- [+] Com Jwallpapers NEW
- [+] Com Extplorer NEW
- [+] Com Rokdownloads NEW
- [+] Com Sexycontactform NEW
- [+] Com Jbcatalog NEW
[3] DruPal
- [+] Add Admin
- [+] Drupalgeddon NEW
[4] PrestaShop
- [+] columnadverts
- [+] soopamobile
- [+] soopabanners
- [+] Vtermslideshow
- [+] simpleslideshow
- [+] productpageadverts
- [+] homepageadvertise
- [+] homepageadvertise2
- [+] jro_homepageadvertise
- [+] attributewizardpro
- [+] 1attributewizardpro
- [+] AttributewizardproOLD
- [+] attributewizardpro_x
- [+] advancedslider
- [+] cartabandonmentpro
- [+] cartabandonmentproOld
- [+] videostab
- [+] wg24themeadministration
- [+] fieldvmegamenu
- [+] wdoptionpanel
- [+] pk_flexmenu
- [+] pk_vertflexmenu
- [+] nvn_export_orders
- [+] megamenu
- [+] tdpsthemeoptionpanel
- [+] psmodthemeoptionpanel
- [+] masseditproduct
- [+] blocktestimonial NEW
[5] Lokomedia
Массовая проверка и эксплуатация уязвимостей сайтов WordPress, Joomla, DruPal, PrestaShop и Lokomedia
Для установки программы:
git clone https://github.com/Moham3dRiahi/XAttacker
cd XAttacker/
Можно запускать без опций:
perl XAttacker.pl
Тогда программа выведет:
[+] You Have List Of Sites ?
[1] Yes
[2] No
[-] Choose :
Здесь спрашивается, имеется ли у нас список сайтов? Если отвечаем Да (нужно вписать цифру 1), тогда нужно будет указать путь до файла. Формат этого файла: один сайт на одну строку, обязательно указание протокола http или https.
Если ответим Нет (цифра 2), тогда появится меню:
[1] Bing Doker |> Here You Chose Da Country Dat U Want
[2] Bing Dorker |> Here I Will Grab Using Ur Dork World Wide Country Websites
[3] Mass Site Grab |> By Ip or Websites List
[4] Mass Site Grab |> Range Ip by Ip or Website list
[+] Choose Number :
Варианты следующие:
1. Поиск по доркам сайтов определённой страны
2. Поиск по доркам сайтов любой страны
3. Массовый сбор сайтов по IP или списку сайтов
4. Массовый сбор сайтов по диапазону IP или списку сайтов
В третьем и четвёртом случае сайты нужно указывать без протокола, то есть без http и https.
Мне больше интересна возможность проверки уже заготовленного большого количества сайтов.
Для этого запустите программу с опцией -l, после которой укажите имя файла со списком сайтов для проверки:
perl XAttacker.pl -l list.txt
В этом списке сайты должны быть с указанием протокола (http или https).
Программа поочереди проверит их все, покажет найденные уязвимости и выполнить загрузку шелла при удачной эксплуатации.
Также все уязвимые сайты будут перечислены с указанием найденной уязвимости в файл Result/vulntargets.txt.
Как ускорить работу XAttacker
Программа XAttacker работает в один поток и переходит к следующему сайту только после полного завершения работы с текущим. То есть узким местом (замедляющим весь процесс) является качество соединения и скорость ответа веб-сайта. При этом Интернет-подключение практически не загружено. Поэтому для увеличения скорости работы программы в несколько раз, сохраните копии программы в нескольких папках и запускайте их одновременно с разными списками сайтов.
Как составить списки сайтов
Самый простой способ получения списков — это парсинг страниц, где перечислено много сайтов. Это могут быть каталоги, результаты поисковой выдачи, разные агрегаторы и так далее.
К примеру, парсинг сайтов из популярного каталога:
curl -s https://top.mail.ru/Rating/Computers-Programming/Today/Visitors/{1..60}.html | grep -E '><at90 t_grey" href="//' | grep -E -o '>.*<' | sed 's/>//' | sed 's/<//' > prog.txtОбратите внимание, что используется конструкция {1..60}, которая в Bash означает вывод последовательности символов, в данном случае от 1 до 60, что означает, что будут собраны сайты с первых шестидесяти страниц каталога.
Ещё пример:
echo "http://`curl -s https://top.mail.ru/Rating/Job/Today/Visitors/{1..60}.html | grep -E '><at90 t_grey" href="//' | grep -E -o '>.*<' | sed 's/>//' | sed 's/<//'`" > biz.txtЧтобы научиться самому составлять подобные команды для сбора сайтов, нужно изучить статьи:
Парсинг сайтов: азы, продвинутые техники, сложные случаи
Регулярные выражения и команда grep
Ещё большие списки сайтов можно получать, например, для IP виртуального хостинга с помощью этого сервиса. Правда, там сайты выводятся без протокола, поэтому для получившегося списка нужно выполнить следующую команду:
sed -i -e 's/^/http:\/\//' list.txt
В результате для каждого сайта в списке будет добавлена начальная строка «http://».
Заключение
Программа XAttacker очень простая в использовании, но новые уязвимости не добавлялись уже довольно давно, поэтому для того, чтобы она дала положительный результат нужно проверить действительно много сайтов.
Либо, для значительного улучшения результатов, нужно искать по доркам, специально подобранным для уязвимостей, которые поддерживает эта программа — но это требует дополнительных интеллектуальных усилий.
Взлом сайта на wordpress или как защитить блог от взлома » Как создать сайт, расскрутить его и заработать с seodengi
Здравствуйте, уважаемые читатели блога. В сегодняшней статье хотелось бы обсудить такую важную тему как защита блога или сайта. Взлом сайта на wordpress довольно частое явление, так как данный движок является наиболее популярным среди сайтов и злоумышленники очень хорошо знают как его взломать. И думаю, вам будет полезно узнать, какие действия нужно предпринять, чтобы своевременно защитить свой блог или сайт на движке wordpress.
Содержание статьи
Взлом сайта на wordpress или как защитить свой блог
Иногда бывает полезно знать, что можно сделать с сайтом, чтобы оградить свой ресурс от нападок злоумышленников.
По данным статистики, которая ведется с 2010 года:
- 60% тех, чей сайт взломали не знают даже, что произошло,
- 25% взломов сайтов происходит через уязвимость в плагине или теме,
- 6,5% происходит от того, что пароль взламывают,
- 3% случаев происходит за счет уязвимости старой версии WordPress, который не обновляется,
- 1,5% случаев бывает из-за взломанных хостинг-провайдеров,
- 0,6% сайтов все еще имеют старые загрузочные файлы,
- 0,4% составляют другие причины, такие как компьютер с которого заходят в админку сайта не имеет антивируса, человек отвечает на фишинговые письма, из-за устаревшего программного обеспечения сервера и т.д.
Статистика причин взлома сайтов
Не имеют представления что произошло
Случай, когда пользователь не представляет, что произошло, является наиболее распространенным — 61% зачастую бывает не до конца понятен. Бывает даже трудно выяснить причину, по которой сайт взломали. В этом случае вебмастеру следует обратиться к специалистам, которые специально занимаются восстановлением сайтов или блогов после взлома.
И если ваш сайт взломали, я рекомендовал бы вам не тратить время на выяснение обстоятельств, а использовать его для защиты сайта.
Уязвимость в плагине или теме
Сегодня без плагинов или тем для WordPress не обходится ни один сайт на этом движке. Каждый владелец сайта использует их в своей работе. Количество плагинов растет день ото дня, каждый разработчик может быть автором плагина или темы для вордпресс, если обладает соответствующими навыками.
Обновляйтесь
Перво наперво, что следует сделать, это обновить плагин или тему, если имеются доступные обновления. Это важно, так как разработчики постоянно дорабатывают плагины еще и для того, чтобы добавить защиту от новых уязвимостей.
Доверяйте разработчику
Я бы не советовал устанавливать на сайте плагин, который не обновлялся более 2 лет, а также не имел службу поддержки, либо имел мало скачиваний, т.е. когда автор еще не известен.
Пользуйтесь проверенными источниками
Для скачивания бесплатных плагинов следует пользоваться официальными источниками WordPress.
Если плагин платный — не следует скачивать с сайтов-варезников его взломанную версию. Так как в нем могут содержаться плагины, в код которых вставлен какой-либо вирус или что-то еще, что в итоге повлияет на взлом сайта на wordpress.
Пользы от такого бесплатного продукта будет немного, а заплатить за восстановление сайта возможно придется .
Загрузка
Вы можете установить плагин используя админ-панель вашего блога на WordPress, причем плагин необязательно распаковывать из архива, а просто использовать расширение .zip. Но, такой файл может содержать в себе любой посторонний код, который при установке начнет собирать информацию или взломает ваш сайт.
Так что при скачивании плагинов пользуйтесь всегда официальным репозиторием, а для премиум плагинов используйте безопасное соединение FTP.
Взлом пароля
Взлом пароля происходит во многом из-за того, что используется слабый пароль такой например, как дата вашего рождения или qwerty.
Имя пользователя
Не пользуйтесь распространенным именем пользователя таким как admin или administator, а также не используйте для входа ваше распространенное имя или никнейм.
Спрячьте панель входа в админку блога
Перемещение адреса входа в админ-панель блога дает возможность не дать всевозможным роботам пытаться войти в нее. К примеру вам нужно сделать так чтобы вход в админ-панель происходил не как обычно http://site.ru/wp-admin, а по другому пути.
Двойная аутентификация
Наилучшие результаты показала двойная аутентификация, т.е. необходимость два раза вводить пароль и логин для входа. Это происходит потому что злоумышленнику или роботу приходится проходить повторную аутентификацию, что делает практически невозможным взломать сайт.
Брешь в wordpress
Иногда, случается, что движок WordPress подвергается взлому. При этом сильным преимуществом является то, что мы слышим об этом, когда проблему уже устранена, что делает движок наиболее защищенной CMS для нас.
Поэтому следует стараться постоянно обновлять WordPress, как только новое обновление стало доступно. Иначе вы можете подвергнуться огромному риску, так как брешь уже была объявлена и теперь каждый знает о ней, что делает возможность злоумышленникам воспользоваться этим и взломать сайт, который остался не обновленным.
Вина хостинг-провайдера
Случается и такое, когда взлом сайта происходит не по вашей вине, а по вине хостинг-провайдера. В этом случае напрашивается очевидное действие — сменить хостинг. Вам нужно выбрать хорошего хостинг-провайдера, который зарекомендовал себя как качественный и безопасный, к таким я отношу например хостинг FastVPS.
Старые файлы WordPress
Вы уже в курсе, что начиная с версии 2.0 WordPress удаляет часть файлов при установке? Если сайт при установке автоматически устанавливался, то замечательно. А если при установке использовался перенос файлов через FTP, то при копировании файлов они не удалялись, т.е. старые файлы с предыдущей версии оставались на хостинге.
Проблема в том, что эти файлы могут содержать в себе дыры в безопасности, вот почему важно удалять их.
Неправильно выставлено право доступа к файлам
Файлы и папки имеют право доступа к ним такие как, чтение, редактирование, одно из двух или оба. Я имею в виду команду chmod, использующуюся при изменении разрешения файлов.
Если файл имеет доступ 0777, то это может быть небезопасно, так как позволяет другим людям открывать их не только как для чтения, но и как для редактирования. Корректно было бы установить разрешение 0644 для файлов и 0755 для папок.
Украденные пароли
Вам нужно использовать сложные пароли для доступа в админку. Если на сайте имеется возможность регистрации другим участникам, то вам нужно удостовериться, что они также используют сложные пароли.
Советы
Ниже я привел краткий список советов для обеспечения безопасности, которые очевидны, но могут быть просто не учтены вами:
- На компьютере должен быть установлен антивирус,
- Не используйте неизвестные провайдеры особенно на станциях или в ресторанах,
- Не давайте никому свой логин,
- Не отвечайте на письма, запрашивающие вашу личную информацию,
- Используйте безопасное FTP или SSH соединение,
- Выходите из админ-панели каждый раз, когда заканчиваете работу.
А у вас уже происходил взлом сайта на wordpress? Надеюсь, что нет. А чтобы еще более обезопасить сайт, предлагаю Вам воспользоваться классным руководством Тотальная Защита WordPress блога, с помощью которого я сумел за неделю узнать все подводные камни, которые подстерегают владельца блога и полностью обезопасить свой блог!
К четверти взломов сайтов на основе WordPress привели дыры в трёх плагинах — «Хакер»
Для взлома сайтов на основе WordPress злоумышленники используют уязвимости не в самой системе управления контентом, а в её плагинах. Такой вывод сделали специалисты компании Sucuri, проанализировав 11485 взломанных сайтов.
WordPress остаётся наиболее часто взламываемой системой управления контентом. В наборе данных Sucuri на неё приходятся 78 процентов взломов. Второе место занимает Joomla с 14 процентами. На 5 процентах взломанных сайтов используется Magento, популярный движок для построения интернет-магазинов. Два процента взломов пришлись на сайты c Drupal.
Причина частых взломов WordPress — его популярность, а не плохая защищённость. Как раз с защищённостью у этого движка всё в порядке: разработчики оперативно устраняют дыры, а пользователи регулярно устанавливают обновления. В результате ни один из инцидентов, проанализированных специалистами Sucuri, не был связан с уязвимостями в самом WordPress.
Свежая версия софта установлена на 44 процентах сайтов с WordPress. Это совсем не мало: для сравнения, 85 процентов сайтов на Joomla и 81 процент сайтов на Drupal используют устаревшее и уязвимое программное обеспечение. Сайты с Magento и вовсе почти никогда не обновляются. Специалисты Sucuri обнаружили актуальную версию движка лишь на трёх процентах сайтов с Magento.
Причиной взлома сайта на базе WordPress почти всегда становится уязвимость в одном из плагинов. Особенно коварны плагины, встроенные непосредственно в тему оформления. Их нельзя обновить стандартными средствами WordPress, пока соответствующие исправления не будут внесены и в плагин, и в тему. Это случается реже, чем хотелось бы.
Каждый четвёртый взлом WordPress связан с уязвимостями в трёх плагинах: RevSlider, GravityForms и TimThumb. GravityForms упрощает создание форм, TimThumb служит для редактирования изображений, а RevSlider помогает создавать интерактивные галереи. Разработчики всех трёх плагинов давно внесли исправления. GravityForms и RevSlider обновились год назад, а TinThumb избавился от дыр целых четыре года назад. Тем не менее, владельцы многих сайтов либо не смогли, либо не захотели устанавливать обновления.
В большинстве случаев взлом сайта на базе WordPress, Joomla и Drupal ведёт к засорению страниц оптимизаторским спамом или внедрению экспойт-кита, устанавливающего вредоносные программы на компьютеры посетителей. Magento ломают для кражи данных кредитных карт.
Бывают и более тяжёлые случаи. В апреле RevSlider упоминали в новостях в связи с «панамскими документами». Специалисты не исключают, что сведения об офшорах политиков и бизнесменов утекли через дыру именно в этом плагине.
Плагин для защиты WordPress от взлома
WordPress очень популярная CMS, это не несомненно ее плюс, есть множество плагинов под любые задачи, но это одновременно и является ее слабостью, ведь чем популярнее CMS для сайта, тем больше на нее атак, точнее она более интересна для взломщика, так как найдя уязвимость в WordPress, злоумышленникам становятся доступны сотни тысяч сайтов, поэтому защите вашего сайта на WordPress нужно уделать особое внимание.
Зачем взламывают сайты на WordPress?
Взламывают все популярные CMS (движки для сайтов), и Вордпресс не исключение, взламываю в основном с помощью так называемых программ (скриптов) — эксплоитов, для получения контроля над сайтом, делается это в основном для создания ссылок с вашего сайта на другие ресурсы, и для создания BotNet, который занимается DDoS атаками на другие сервера, причем сайт остается в рабочем состоянии, и вы никогда не увидите не «вооруженным» глазом что он заражен. В любом случае взлом плохо отразится на вашем сайте, и возможно вы даже пропадете из выдачи.
Как я уже говорил, взлом происходит в автоматическом режиме, определить CMS сайта не составляет труда, для этого есть много онлайн сервисов, часто атакующая программа пытается подобрать пароль от административной части сайта, т.е. переходит по адресу your-site.ru/wp-admin и пробует подобрать пароль к вашему пользователю, узнать имя пользователя не составляет труда, вы ведь пишите статьи именно под ним, поэтому логин будет виден ботам, они знают где его посмотреть. если вы конечно не закрыли его при помощи плагина, об одном из которых мы поговорим ниже. Пароль от администратора сайта должен быть очень сложным, но даже при выполнении этого условия, нельзя давать ботам перебирать (брутить) пароль от «админки», потому что это не нужная нагрузка на сервер, представьте если этим занимаются несколько десятков ботов с разных концов света.
Плагин для защиты WordPress от атак
Перейдем сразу к плагину, достойных внимая несколько, поговорим о более простом и понятном, я использую его на многих своих проектах, для заказчиков, он очень хорошо справляется с поставленными задачами по охране сайта — All In One WP Security & Firewall
Это плагин достаточно прост в освоении, и руссифицирован на 90%, устанавливается как и любой плагин из репозитория WordPress, после установки его нужно активировать и сделать основные настройки. Он появляется в основном меню в админке WordPress
Панель управления плагина WP Security
После перехода к настройкам плагина, попадаем в панель управления. Тут можно сделать основные важные настройки.
- Показывает 5 последних авторизаций в вашей админке, указан пользователь и IP адрес, я например сразу вижу свои IP, их всего два, поэтому у меня не возникает сомнений что мой пароль от административной части знает кто то еще.
- Раздел самых важных функций, тут все нужно включить, и со всем согласиться.
- Плагин, способен отслеживать изменения файлов на хостинге, причем он может отправлять отчет вам на почту, и вы всегда в курсе какие файлы у вас изменились, это очень полезно, если вам подгрузили какой то скрипт или любой файл с вредоносным кодом, вы это сразу увидите в отчете, единственный минус, после обновления каких либо других установленных у вас плагинов или самого движка WordPress, WP Security увидит все эти изменения и пришлет вам огромный список, но к этим отчетам можно привыкнуть, ведь вы знаете когда обновляли файлы сами.
- Этот пункт меняет стандартный адрес админки сайта
yoursite.ru/wp-admin, наyoursite.ru/luboe-slovo, это спасет вашу админку от некоторых горе-хакеров и ботов, но к сожалению не от всех, особо продвинутые ее все равно находят, об этом я могу судить глядя в раздел «Авторизации», но об этом позже. - Этот пункт должен быть выключен, как на скриншоте, он нужен только тогда, когда вы хотите поставить сайт на обслуживание, для посетителей будет выдаваться табличка с сообщением, о том что на сайте ведутся технические работы, иногда это полезно, например при смене дизайна сайта, или при каких то глобальных изменениях, не забывайте, что в этом режиме поисковые роботы тоже не могут просматривать ваш сайт, не закрывайте его на долго.
Защита админки WordPress от подбора пароля
Теперь перейдем в пункт меню — Авторизация, на мой взгляд очень полезный пункт, и его стоит настроить, так как на одном из моих сайтов. с посещаемостью около 1000 человек, плагин отлавливает в день десятки попыток подобрать парль к админке, и добавляет IP адреса взломщиков в черный список, т.е. блокирует его совсем, сайт перестает отвечать этому IP адресу, тем самым сводя на нет попытки подобрать пароль, на скрине настройки которые делаю я.
- Число попыток «ошибиться» оставляю -3, не делайте меньше, можете сами неверно набрать пароль, и попасть в черный список со своим IP, придется отключать плагин через FTP
- Это время, через которое сбрасывается счетчик не верных попыток залогиниться
- Период блокировки IP адресов, с которых были не верные попытки авторизации, я ставлю побольше, в минут, т.е. баню на долго, на скрине стоит 6 000 000 минут, это примерно 11 лет, думаю хватит
Всем заблокированным IP будет закрыт доступ не только к админке, но и ко всему сайту, имейте это в виду
Список заблокированных IP адресов
После активации блокировок ошибочных авторизаций, спустя некоторое время, в зависимости от посещаемости вашего блока, можно увидеть список заблокированных IP, на скриншоте видно заблокированные IP
- айпи адрес злоумышленника
- логин к которому подбирали пароль, кстати правильный
- дата когда была сделана автоматическая блокировка
Белый список адресов для админки
Что бы разрешить доступ в административную часть сайта на WordPress только с определенных IP адресов, можно активировать белый список адресов в настройках плагина.
- активация этой опции
- тут ваш текущий IP адрес
- в этом поле введите все IP адреса, с которых разрешен доступ в админку
Если нужно указать диапазон IP адресов, то вместо цифры, используйте звездочку, к примеру 192.168.5.* — такая конструкция даст доступ в админку wordpress со всех ip начинающихся на эти цифры, такой способ может быть полезен тем, у кого нет выделенного ip адреса, и он постоянно меняется, к примеру при работе с мобильного интернет, как правило диапазон будет оставаться в пределах двух первых цифр, вот так к примеру 192.168.*.*
Как защитить WordPress от взлома
Рано или поздно владелец каждого крупного интернет ресурса должен задуматься о безопасности своего проекта. Поэтому, если вы ищете, как защитить сайт на WordPress от взлома, эта статья для вас.
Самым простым способом защиты является установка специальных плагинов. Так как WordPress – очень популярная CMS, то для нее таких плагинов существует огромное количество. Каждый из них обладает своими плюсами и минусами, особенностями, но мы рассмотрим два наиболее популярных и действенных.
1) Remove WP version and shortlink
Это один из самых простых и полезных плагинов, защищающих WordPress от взлома. Принцип его работы строится на том, что он скрывает версию вашей WordPress от злоумышленников. Это очень важно, потому что хакеры, взламывая сайт, в первую очередь пытаются узнать версию WordPress. Знание установленной версии дает взломщикам информацию об уязвимостях CMS, а именно уязвимости – это то, за что может зацепиться злоумышленник, взламывая сайт. Безусловно, этот плагин не обеспечит вашему сайту полной защиты. Но, учитывая его простоту, мы советуем установить «Remove WP version and shortlink», чтобы усложнить взлом вашего ресурса.
2) Wordfence Security
В отличие от предыдущего, этот плагин уже намного функциональнее. По мнению многих профессионалов Wordfence Security должен быть обязательно установлен на любом сайте WordPress. Возможен выбор между двумя вариантами — платной и бесплатной версией. Основное отличие платной версии заключается в том, что вы получаете практически мгновенное обновление защиты при появлении новых угроз. В бесплатной версии обновления выходят только через месяц после обнаружения новых уязвимостей. Тем не менее, даже бесплатная версия послужит отличным защитником вашего сайта на WordPress от взлома.
Главные функции и особенности данного плагина:
- Встроенный Firewall. Эта функция защитит ваш сайт от подавляющего большинства возможных угроз и уязвимостей.
- Сканирование. Плагин оснащен функцией сканирования по расписанию. Если он находит какие-нибудь угрозы для сайта, администратору тут же отправляется письмо с уведомлением о выявленных опасностях. Одним из самых популярных методов взлома сайта является добавление в файлы вредоносного кода, который не может быть найден антивирусом. Плагин с этой опасностью справляется намного лучше: он проверяет файлы на предмет изменений кода и отправляет результаты администратору сайта. В случае, если изменения были сделаны не владельцем, плагин позволяет восстановить исходный код файлов.
- Кэширование страниц. Эта функция позволяет ускорить загрузку страниц сайта в несколько раз.
- Аудит паролей пользователей. Плагин выявляет посетителей вашего сайта со слабыми паролями и позволяет уведомить их об этом, предложив сменить пароль на более безопасный. Если на вашем сайте есть регистрация пользователей, эта функция будет очень полезна.
- Защита от взлома пароля. Очень часто аккаунты администраторов сайта подвергаются попыткам взлома путем подбора паролей. Данная функция плагина ограничивает число попыток входа и, при исчерпании этого лимита, запрещает доступ ip-адресу злоумышленника.
Существует огромное количество отличных плагинов для того, чтобы уберечь ваш сайт от взломов и опасностей, которые несут уязвимости в WordPress. Но ни один из них не сможет гарантировать вам хорошей защиты, если ваш хостинг ненадежен. В первую очередь выберите хорошего провайдера, который будет заботиться о безопасности вашего сайта, а уже потом думайте о других средствах защиты вашего ресурса.