Безопасность WordPress

Безопасность - фундамент интернет-бизнеса

Безопасность — именно с неё должен начинаться любой интернет-проект, так гласит прописная истина, но многие ее не соблюдают и очень напрасно. Еще несколько лет назад мы халатно относились к расширенным понятиям безопасности, используя лишь базовые малоэффективные методы, а теперь мы потеряли большие финансы, несколько недель времени, огромную головную боль и часть проектов с трафиком.

безопасность wordpress

Возможно вас ломают уже прямо сейчас!

 

Проблема безопасности интернет-проектов заключается в том, что ее обычно откладывают «на потом», мол, придет время, проекты раскрутятся и тогда уже можно начать что-то думать о хакерах, взломах и уязвимостях. На самом деле, постепенно проекты копятся, количество серверов и аккаунтов растет, а старые дыры остаются, и в какой-то момент это начинает предоставлять серьезную угрозу для бизнеса.

На наших серверах находятся несколько сотен сайтов на разных CMS, с разными целями, структурой, доменными зонами и на разных языках. В какой-то момент мы стали получать сообщения от сервер-провайдера о рассылке спама с наших IP, — это было только начало большого пути борьбы.

Как работают хакеры? Ежедневно, ежечасно и ежесекундно большие ботсети сканируют интернет на предмет уязвимых сайтов. Все происходит автоматически и масштабно. Как только хакеры находят малейшую уязвимость (системных файлах, темах, плагинах и т.д.) они начинают усиленно атаковать, продолжая ломать сайты на этом же аккаунте или IP-адресе.

После взлома хакеры используют самые разнообразные методы получения профита за счет ваших ресурсов: стандартная рассылка e-mail спама по десяткам тысяч адресатов, дальнейшее встраивание вредоносного кода в системные файлы ваших сайтов, установка шеллов и расширенный сбор информации, создание страниц-дорвеев на ваших сайтах и спам по ним, встраивание iframe-кодов и редиректов, скрытая простановка ссылок с ваших сайтов и другое.

Основные задачи хакеров:

  • Email-спам и использование сайтов в ячейке ботнет-сетей;
  • Дальнейший взлом и сбор данных;
  • Использование ваших сайтов для получения трафика;
  • Хакеры используют десятки методов монетизации «лома» — любой сайт (даже «нулевка») имеет определенную ценность;

Зачем хакерам ваши сайты?

По нашей статистике большинство взломов приходятся на англоязычный сегмент сайтов, особенно в зонах .COM, вероятно хакеров менее интересует .RU зона и российских трафик, оно и понятно — хакеры там, где деньги.

Мейл спам все еще очень прибыльный бизнес, рассылая миллионы писем хакерам удается неплохо зарабатывать различными видами мотизации мейл-трафика.

SEO-трафик: взгляните на выдачу Google в конкурентных тематиках (например, погуглите запрос «buy viagra») и вы увидите сотни ресурсов, расположенных на «ломе» (так называемых «пирогах»). Данные дорвеи создаются на трастовых ресурсах, например, .EDU сайтах, которые удается взломать хакерам и разместить там свою страничку, которая при помощи спама легко попадает в ТОП выдачи.

Хакеры умело используют редиректы и клоакинг, дабы владельцы сайта не так быстро замечали плохих соседей.

Некоторые действует иначе: взламывают трастовые сайты и аккуратно проставляют ссылки на свои ресурсы, продают подобные ссылки или сразу же продают шеллы пакетами.

Факт остается фактом: взломы сайтов очень прибыльны и эта тенденция только будет продолжать расти.

После первых заражений нами была привлечена команда специалистов по безопасности, но даже с ее помощью не удалось оперативно вылечить и на 100% обезопасить большое количество сайтов, которые находились под угрозой. Ситуацию решали с разных сторон на протяжении полугода, то избавляясь на какое-то время от вредоносного кода, то возвращаясь к проблеме снова.

Ситуацию удалось решить лишь кардинальным способом: глобальный перенос сайтов по одному на другие сервера, с предварительной настройкой безопасности каждого.

И даже после этого еще несколько раз возникали опасные моменты, которые уже оперативно решались с помощью анализов логов и дополнительных настроек.

В этой заметке я не буду акцентировать внимание на настройку серверов, — это дело лучше доверить профессионалам WEB-безопасности, в этом посте разберем моменты, которые помогут максимально обезопасить сайты на популярной CMS WordPress с минимальными усилиями и максимальной эффективностью.

безопасность сайтов вордпресс

Хакеры работают пока ВЫ спите…

 

Вначале немного статистики всех взломанных сайтов на движке WordPress:

  • 41% взлома через серверные уязвимости (например, SQL-иньекции);
  • 29% взлома через темы движка;
  • 22% взлома через плагины;
  • 8% взлома по причине подбора паролей;

Что делать сразу после взлома?

И так, если ваш сайт взломали выполните следующие действия:

Шаг 1 — Проверка

  • Проверьте файлы .htaccess и robots.txt на наличие изменений;
  • Скачайте и запустите последнюю версию программы Ai-Bolit;
  • Устанавливайте предложенные плагины ниже и запускайте проверки;

Шаг 1 — Анализ

  • После того как вы выявите вредоносные файлы, первым делом, просмотрите логи создания или изменения файлов в логах вашего сервера;
  • Это поможет определить в какой момент времени хакеры произвели взлом;
  • Просмотрите все подозрительные POST-запросы и соберите всю возможную информацию о хакерах (используемые IP, обращения к другим процессам и т.д.);
  • Используя все данные выявите первоначальную причину взлома;

Шаг 3 — Защита

  • После того, как информация о взломе проанализирована самое время удалить все вредоносные файлы и переустановить движок WordPress;
  • Поменяйте все пароли: MYSQL, доступы к серверу, FTP-пароли, доступы в админку, создайте новые WordPress Secret Keys;
  • Поставьте все возможные защиты с помощью рекомендуемых плагинов;
  • Анализируйте логи сервера и логи плагинов;

Рекомендуем:

Плагины безопасности WordPress

В сети попадаются множество обзоров и сравнений плагинов безопасности, после долгих тестирований я выбрал для себя лучшие по удобству и эффективности, на рынке плагинов существуют аналоги с похожим принципом и функционалом, но мой выбор:

Это далеко не весь список возможных плагинов защиты, но, как правило, все что сложно и долго не работает. Я давно искал подборку, которую можно ставить без лишних хлопот массово на сотни сайтов, эффективно снижая риски взлома. И это она.

All In One WP Security

All In One WP Security

All In One WP Security

Все просто, удобно и интуитивно понятно: выполняете шаг за шагом рекомендуемые действия, пока не наберете максимальный процент внутренней шкалы безопасности. Настаиваете все исходя из задач проекта.

Основное это:

  • Меняете префикс к базе данных (если у вас стоит wp_ по умолчанию);
  • Проверяете права доступов к файлам и папкам;
  • Включайте встроенный фаерволл;
  • Закрываете информацию о версии WordPress и другие системные файлы;
  • Запрещаете редактирование файлов PHP и другие настройки;

WordPress Sucuri Security

Sucury Security

Sucury Security

  • Основная задача этого плагина — проверка инородных и вредоносных файлов в содержимом движка WordPress;
  • Просканируйте сайт с помощью Malware Scanner;
  • Выполните все действия во вкладке Hardening (запрет доступа к системным папкам через .htaccess и другое);

Wordfence Security

Wordfence Security

Wordfence Security

  • Основная задача этого плагина — сканирование сайта и выявление проблем в файлах сайта. Поможет в диагностике после заражения.

Остальное

  • Anti-Malware плагин поможет взглянуть на сайт еще с одной стороны;
  • Advanced Automatic Updates поможет с автоматическим обновлением, что очень полезно, если сайтов десятки и сотни;
  • Disable Comments за несколько секунд полностью выключает любые виды комментариев, что полезно, если сайт не предполагает комментирование;
  • Theme Authenticity Checker (TAC) — проверка темы на вирусы за несколько секунд;
  • WordPress AntiVirus — поможет просканировать плагины и темы на уязвимости;
  • Ultimate Security Checker — очень быстро просканирует ваш сайт и выдаст расширенный набор мер по улучшению безопасности;

Другие альтернативные плагины вы легко найдете на официальном сайте Вордпресс по тегам: Security, Malware, Antivirus и другим.

Важные советы:

Начните защиту прямо сейчас, пока еще не поздно:

  • Заказать настройку безопасности сервера у профессионалов;
  • Никогда ничего не скачивать из подозрительных источников;
  • Обновлять плагины и темы вручную или автоматически;
  • Удалять все лишнее (не используемые плагины, темы, файлы и папки — чистота залог здоровья);
  • Использовать сложные пароли;
  • Делать автоматические бекапы;
  • Анализировать логи сервера;

Для больших любителей безопасности:

Проблема безопасности — неверие в ее важность, универсальной таблетки от взлома не существует, но максимально приблизиться к идеалу вам также поможет:

Итоги:

Устанавливайте защиту на свои сервера и заказывайте настройку серверов у профессионалов, используйте наиболее расширенную и удобную систему логов — это поможет оперативно устанавливать новые виды защиты, а главное отслеживать текущие изменения и выявлять причину взломов.

Если используете популярные CMS, — выделите для себя несколько наиболее важных плагинов безопасности и включите их в свою сборку, при каждой новой установке сайта первым делом настраивайте защиту с помощью них.

Не откладывайте безопасность «на завтра», как правило, это забывается и один недоработанный сайт может серьезно испортить вам планы: очень часто ломают один старенький, забытый и запылившийся сайт, а затем добираются до всех соседних сайтов.

Если вы работаете в буржунете и в конкурентных темах — вас обязательно будут ломать. Всегда будьте к этому готовы, иначе потеряете намного больше, чем кажется на первый взгляд.