Результаты моего исследования безопасности сайтов на WordPress

Полгода назад проводил бесплатные аудиты безопасности сайтов своих подписчиков и клиентов, но предварительно им нужно было заполнить опросный лист, с целью выяснения стадии, на которой они находятся в данный момент.

Сам опросный лист находится здесь.

Сейчас же я представляю вашему вниманию результаты проведённого мною исследования.

Вопрос 1: Я работаю только под пользователем admin

Почти все участники опроса используют учётную запись admin.

Сейчас это одна из главных проблем безопасности сайта. Практически каждый злоумышленник первым делом пытается подобрать пароль к учётной записи администратора.

Используя учётную запись admin вы в разы упрощаете достижение цели и приближаете момент взлома вашего сайта.

Узнайте прямо сейчас, как запретить подбор имени пользователя в WordPress.

Вопрос 2: Для добавления записей я использую учётную запись с ограниченными правами

100% опрошенных ответили, что пользуются только одной учётной записью с правами администратора.

Взгляните на используемую и рекомендуемую мной схему политики учётных записей.

Управление настройками вашего сайта
Для установки плагинов и тем, любых сервисных и технических операций используйте только учётную запись администратора с очень стойким и сложным паролем. Ни в коем случае не публикуйте записи на ваш блог или сайт от имени этой учётной записи.

Добавление или обновление контента
Всё, что касается контента, загрузки изображений, публикации новых страниц — делайте от имени учётной записи с правами «Редактор».

Разница в правах пользовательских ролей в том, что под «Редактором» вы не сможете внести изменения в работу сайта, либо же удалить/изменить какие-то функции.
Результаты моего исследования безопасности сайтов на WordPress 02

Вам будет доступна лишь возможность добавления контента. Если же злоумышленник получит доступ к учётной записи с правами редактора, то максимум, что ему будет доступно — это изменение контента.

Вопрос 3: Я использую сложные пароли для своих учётных записей

100% участников опроса ответили, что используют сложные пароли. В этом я могу их только похвалить и пожелать следовать этой рекомендации и впредь. Сложные пароли — залог успеха, помните об этом.
Результаты моего исследования безопасности сайтов на WordPress 03

Вопрос 4: На моём сайте используется всегда последняя версия WordPress

80% опрошенных регулярно обновляют версию движка своего сайта при выходе новой версии.
Результаты моего исследования безопасности сайтов на WordPress 04

Те, кто не обновляют его, рискуют оказаться у разбитого корыта. В один прекрасный момент вовремя не обновлённый WordPress позволит злоумышленнику получить доступ к административной панели вашего сайта, используя уязвимости старой версии.

Посмотрите мой видеоурок об обновлении WordPress.

Вопрос 5: Используете ли вы антивирус на рабочем компьютере?

Все участники опроса используют антивирусное программное обеспечение на своём компьютере.

Дело в том, что сам антивирус не защищает ваш сайт от взлома в прямом смысле слова. Но он предотвращает возможные утечки паролей, сохранённых в ваших браузерах и FTP клиентах!

Вопрос 6: Имеются ли неиспользуемые темы (шаблоны) на вашем сайте?

Практически все опрошенные (90%) ответили, что на их сайтах имеются неиспользуемые или неактивные темы. Более того, они даже не догадываются о возможных проблемах.
Результаты моего исследования безопасности сайтов на WordPress 05

Вы должны понимать, что неактивная (деактивированная) тема — это тот же PHP-код, который спокойно выполняется при обращении к файлам темы через адресную строку браузера.

Если вы скачали какую-то бесплатную тему из каталога тем для WordPress, посмотрели и не удалили её со своего сайта, то любой пользователь, владеющий информацией об имеющихся дырах в этой теме, может запросто получить доступ к вашему сайту.

Поэтому я настоятельно рекомендую скачивать темы для своего сайта только с официального сайта WordPress, либо покупать темы премиум-класса у проверенных источников.

Вопрос 7: Имеются ли неиспользуемые плагины на вашем сайте?

63% опрошенных сообщили, что у них имеются неиспользуемые плагины.
Результаты моего исследования безопасности сайтов на WordPress 06

Проблема на 100% перекликается с предыдущим пунктом, поэтому расписывать разницу в них не буду.

Всегда удаляйте неиспользуемые и устаревшие версии плагинов

Вопрос 8: Имеются ли обновления для плагинов, которые ещё не установлены?

20% опрошенных ответили, что не считают нужным обновлять плагины при выходе новых версий. Люди думают, что обновляя старый плагин они могут навредить сайту.
Результаты моего исследования безопасности сайтов на WordPress 07

На самом же деле всё наоборот — навредить может именно использование старой версии плагина. Если плагин ведёт себя некорректно в новой версии — скорее всего в самое ближайшее время это будет исправлено разработчиком.

Если же плагин долгое время не обновляется, я бы рекомендовал отказаться от использования этого плагина и найти ему замену из бесплатных аналогов, либо приобрести платный плагин.

Вопрос 9: Имеются ли неиспользуемые учётные записи пользователей в Панели управления?

Этот вопрос относился к тем, кто использует услуги фрилансеров для доработки сайта на WordPress. Часто бывает так, что открывают доступ с правами администратора и после проведённых работ учётная запись не удаляется.

Люди все разные, тем более в интернете. На своей практике знаю, что практически никто из фрилансеров не удаляет пароли от личных кабинетов своих клиентов, либо административных панелей сайтов.

Беда в том, что если к этим данным получит доступ третье лицо, то ваш сайт будет скомпрометирован. Так зачем же оставлять дополнительную лазейку и подвергать свой сайт опасности?

Всегда удаляйте неиспользуемые учётные записи!

Вопрос 10: Скрыта ли версия WordPress на страницах сайта?

Зная версию вашего WordPress можно безо всяких проблем найти информацию по различным вариантам атаки на сам сайт.

Ни у кого из опрошенных не была скрыта версия WordPress. Ждите материал по теме, чтобы раз и навсегда закрыть этот вопрос в безопасности вашего сайта.

Важно! Это не относится к массовым ботнет-атаками, которые были недавно проведены на русскоязычный сегмент сайтов на WordPress и Joomla. В случаях с массовыми атаками, все запросы направлены к файлу wp-login.php (в случае с WordPress) и идёт простой перебор паролей, с целью получения доступа к административной панели.

Вопрос 11: Имеется ли защита директории /wp-admin/?

Предложенные варианты ответов:

  • Да, используется вход по паролю
  • Да, используется доступ по IP адресу
  • Я ничего не менял(-а)
  • Не понимаю, о чём идёт речь

Лишь один человек из опрошенных ответил, что использует вход по паролю для доступа к странице авторизации.

Если кто не понял о чём речь, то вот наводящий скриншот:
Результаты моего исследования безопасности сайтов на WordPress 01

В двух словах, это дополнительная прослойка между входом в админку вашего сайта. Введя правильный пароль в этой форме вы сможете получить доступ к странице входа в ваш WordPress. Данная форма создаётся средствами веб-сервера.

Думаю в ближайшее время подготовлю небольшую инструкцию по этому способу защиты админки WordPress.

Вопрос 12: К хостингу для загрузки файлов я подключаюсь через…

Предложенные варианты ответов:

  • FTP
  • SFTP
  • SCP (WinSCP)
  • Не понимаю о чём идёт речь
  • Свой вариант ответа

Мнения разделились ровно пополам: половина подключается через FTP, а вторая половина не понимает, о чём идёт речь. Видимо они управляют файлами своего сайта через административный интерфейс.

На сегодняшний день использование FTP это не самый лучший (хоть и самый простой) способ подключения к вашему хостингу. Есть несколько реализаций этого протокола: FTP, FTPS, SFTP, наиболее часто доступны это обычный FTP, в котором логины и пароли передаются в открытом виде.

Я рекомендую вам уточнить у вашего хостинг-провайдера о наличии SSH. Если такая опция есть в вашем тарифном плане — используйте программу WinSCP (для Windows), либо Transmit (для Mac OS) и забудьте про FTP.

Где-то у меня было видео в одном из курсов по WordPress, как раз по этой теме. Найду — поделюсь :-)

Вопрос 13: Какие из этих плагинов у вас установлены?

Предложенные варианты ответов:

  • WP Security Scan
  • Antivirus
  • Limit Login Attempts
  • Login LockDown
  • Exploit Scanner
  • Akismet
  • Antispam Bee
  • Bulletproof Security

80% использует Akismet и по 1 человеку используют Login LockDown и WP Security Scan.

Akismet и Antispam Bee хорошие решения для защиты от автоматического спама. Рекомендую устанавливать любой из них в обязательном порядке на ваши сайты.

Limit Login Attemps и Login LockDown используются для ограничения попыток входа в административный интерфейс с неправильным паролем. Если не использовали эти плагины, воспользуйтесь инструкцией о том, как ограничить количество попыток входа.

Вопрос 14: Настроено ли резервное копирование?

Половина опрошенных использует регулярное резервное копирование, остальные же не понимают важности.

Ознакомьтесь с инструкцией о создании резервной копии WordPress.

Вопрос 15: Настроено ли копирование на внешний ресурс (Dropbox, Amazon S3) или e-mail

Лишь половина людей из прошлого вопроса использует копирование файлов и базы данных своего сайта на внешний ресурс. Вторая половина хранит резервные копии на своём хостинге.

Объясню просто: если ваш хостинг-провайдер в какой-то момент рухнет, то вы потеряете все копии, которые были у вас. Но это не грозит тем, кто делает автоматические копии своего сайта в Dropbox или в другие места.

Вопрос 16: Настроено ли еженедельное полное резервное копирование файлов и базы данных?

70% делающих резервные копии имеют план резервного копирования. Это означает, что резервные копии создаются по расписанию в автоматическом режиме.

Я настоятельно рекомендую вам разработать свой план регулярного резервного копирования. Либо воспользоваться моим:

Что копируем Периодичность Место хранения
Копирование базы данных Ежедневно Хостинг, внешний FTP, Dropbox
Копирование файлов WordPress Еженедельно Хостинг, Dropbox
Полная резервная копия базы данных, файлов и списка плагинов единым архивом Еженедельно, ежемесячно FTP, Dropbox

Регулярность создания резервных копий во многом зависит от регулярности обновления материалов на сайте. Если вы каждый день добавляете новые материалы — делайте резервные копии базы данных ежедневно. Этого будет достаточно.

Я предпочитаю хранить до 15 резервных копий, это позволяет в любой момент откатиться к любому временному периоду.

Вопрос 17: Настроено ли ежедневное резервное копирование базы данных и XML-данных?

Здесь всё аналогично с предыдущим пунктом.

Заключение

Как видите, многие пользователи и владельцы сайтов на WordPress не имеют простейших знаний для обеспечения безопасности своего ресурса. А ведь именно с этого начинается успешное развитие своего бренда, репутации и первого заработка.

Поделитесь в комментариях, что думаете на этот счёт :-)

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Комментарии

  • Ого сколько дыр для ушлых товарищей! Пойду исправлю хоть то, что могу :)

    • Большинство проблем очень мелкие, но даже об этом владельцы блогов не задумываются. В данный момент готовлю подробную инструкцию по решению подобных проблем :-)

      Подписывайтесь на обновления блога, чтобы не упустить момент анонса.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: