Site-ul dvs. WordPress este securizat? Site-urile WordPress sunt vulnerabile?

Publicat: 2017-03-09

În urmă cu două-trei decenii, jaful s-a limitat la spargerea și intrarea pentru a fura banii sau obiectele de valoare ale cuiva. Vor fi răufăcători și tâlhari de astăzi, iau forma hackerilor. Oricine găsește și exploatează vulnerabilități în software în scopuri personale sau din motive politice.

Înainte de a începe, trebuie să știți că acest articol nu intră în grija securității WP, ci mai degrabă discută cauzele vulnerabilităților WordPress. Dacă nu căutați asta, v-aș sugera să citiți - „Îmbunătățirea securității WordPress - Un ghid complet pentru securizarea site-urilor WordPress“. Deși, trebuie să afirm că înțelegerea naturii vulnerabilităților WP în trecut, oferă o perspectivă excelentă asupra modului în care puteți asigura protocoalele de securitate ale site-ului dvs. web.

De ce intră oamenii în site-uri web și centre de date? Intrarea în site-uri web care conțin informații despre clienți, ID-uri de e-mail, numere de card de credit, etc. este mai profitabilă decât jefuirea unei bănci. Dacă conduceți un site web de succes rezonabil, sunt sigur că s-au făcut deja sute, dacă nu chiar mii de încercări de a obține acces la informațiile site-ului dvs.

Cel mai recent, AshleyMadison.com a fost piratat și detaliile a 37 de milioane de utilizatori au fost furate. Hackerii au cerut închiderea site-ului web, în ​​caz contrar, vor elibera detaliile informațiilor utilizatorului furat, inclusiv fanteziile sexuale. Acest lucru vă oferă un gust de tipul de distrugere pe care un hacker îl poate provoca doar prin accesarea informațiilor.

Securitatea web este un subiect foarte important și devine din ce în ce mai relevant, având în vedere numărul de site-uri web care apar pentru a colecta informații personale ale utilizatorilor săi.

Până la 65% din web rulează cu WordPress ca sistemul de gestionare a conținutului, așa că astăzi voi discuta despre securitatea WordPress și despre modul în care site-urile WP au fost vizate sau piratate în trecut.

De ce să investim în bune practici de securitate?

  • Îi datorezi clienților tăi și clienților care au încredere în tine informații personale sensibile să le păstreze în siguranță.
  • Site-ul dvs. este piratat - pierdeți bani.
  • Site-ul dvs. este piratat - Clasamentul motorului dvs. de căutare face o călătorie aproape unică în iad.

Site-urile WordPress sunt piratate de mii, dacă nu de sute de mii. Nu toate site-urile web raportează faptul că au fost sparte în trecut. Nu este o recomandare excelentă pentru marca lor, așa cum ați putea ghici.

Aș dori să arunc o lumină asupra necesității acestui articol despre securitatea WordPress.

Potrivit unui studiu, așa cum este împărtășit de Sandro Gucci (Fondatorul Enable Security).

  • 73,2% dintre cele mai populare instalări WordPress sunt vulnerabile la vulnerabilități care pot fi detectate folosind instrumente automate gratuite.
  • Doar 7.814 site-uri web (18,55%) au făcut upgrade la WordPress 3.6.1, aceasta a fost cea mai recentă versiune a WP când s-a efectuat testul.
  • 13.034 site-uri web (30,95%) rulau încă o versiune vulnerabilă a WordPress, versiunea 3.6. WordPress 3.6 avea 5 vulnerabilități cunoscute la acel moment.

Și dacă te-ai întreba, ei bine, aceasta este doar o caracterizare generalizată nedreaptă a unor mici site-uri web necunoscute undeva pe web-ul întunecat, te-ai înșela. Statisticile au fost produse pe baza unui studiu a aproximativ 42.000 de site-uri web WordPress pe site-urile web Top One Million ale Alexa. Acesta este un număr mare de site-uri vulnerabile pentru cele mai vizitate site-uri web de pe web. Aceste site-uri web colectează o cantitate mare de informații despre vizitatorii și abonații lor.

Statisticile erau adevărate ca în septembrie 2013, nu cred că s-ar fi abătut mult de atunci și chiar dacă ar avea, statisticile afișate aici afișează amploarea problemelor de securitate care afectează WordPress.

Dacă doriți mai multe dovezi care demonstrează că WordPress poate fi compromis. Vă trimit la un studiu realizat de Netcraft,

  • În februarie 2014, existau 12.000 de bloguri WordPress care serveau drept platforme pentru site-uri de phishing.
  • Mai mult de 8% din toate adresele URL malware blocate de Netcraft pentru distribuirea programelor malware găzduite pe web erau bloguri WordPress.

Ar trebui să subliniez că niciunul dintre aceste bloguri nu a fost rulat pe Automattic wordpress.com. Acest lucru ar trebui să ilustreze destul de clar că chiar și WordPress, dacă nu este utilizat cu precauție și unele cunoștințe despre securitatea WP, poate fi vulnerabil. Un alt motiv pentru aceasta poate fi legat de faptul că toate blogurile găzduite pe wordpress.com sunt actualizate aproape de îndată ce actualizările WordPress sunt lansate. Trebuie remarcat, de atunci, actualizările automate WordPress au fost introduse în versiunea WP 3.7 pentru a proteja site-urile web împotriva exploatărilor de zero zile.

Și chiar și după aceea, au existat o serie de probleme de securitate care au afectat WordPress. Consultați această listă de vulnerabilități WordPress în diferite versiuni ale platformei.

Acum nu puteți face nimic pentru a împiedica acest lucru, aproape întotdeauna vor fi descoperite noi vulnerabilități. Evident, echipa WP de bază a luat securitatea foarte în serios și a făcut WordPress mult mai sigur.

Dar, la fel ca orice alt software popular, exploatarea vulnerabilităților devine mai profitabilă atunci când mai mulți oameni încep să le folosească.

Nu ai încredere în mine? Dacă credeți că cumva WordPress va deveni dintr-o dată liber de toate vulnerabilitățile, consultați acest grafic!

wordpress-vulnerabilitati-peste-ani

În timp ce numărul vulnerabilităților a scăzut de-a lungul timpului de la maximele lor în 2007 și 2014, stimulentul pentru a descoperi noi vulnerabilități și a exploata este în continuă creștere, având în vedere profitabilitatea crescândă datorită popularității crescânde a WordPress.

WordPress poate fi sigur în condiții de siguranță, dar după adăugarea a atât de multe plugin-uri / teme și cod personalizat, numărul vulnerabilităților începe să crească cu mare grabă.

Acestea fiind spuse, putem aduce mici modificări WordPress-ului dvs., pentru a-l face mult mai sigur. Mai întâi trebuie să avem o înțelegere aprofundată a securității WordPress, acest lucru fiind foarte util pentru a afla cauzele eșecului în securitate.

S-ar putea să fiți surprinși să aflați că este foarte rar ca platforma de bază WP să fie în culpă în cazurile de încălcare a securității. Este mult mai probabil ca ceva pe care l-ați adăugat la WP să creeze o vulnerabilitate pe care hackerii ar putea să o exploateze.

Cum sunt compromise site-urile WordPress?

Dificultatea cu asigurarea securității complete este că nu există așa ceva.

Presupunând că WordPress este complet securizat, aveți în continuare Apache, clientul FTP, MySQL și orice software care rulează pe serverul dvs. de care trebuie să vă faceți griji. Site-ul dvs. web este la fel de sigur ca și cea mai slabă legătură a sa. Și asta include calitatea software-ului gazdei dvs., temele și pluginurile pe care operează site-urile dvs. web.

Mi-aș dori să am statistici mai recente și eu vă pot indica, dar acest studiu prezentat ca o infografică pe blogul WpWhiteSecurity oferă o mare perspectivă asupra modului în care site-urile WordPress sunt piratate și ceea ce le face vulnerabile.

Studiul a fost realizat pe baza informațiilor a 170.000 de site-uri web care au fost piratate în 2012. O creștere cu 18% a numărului de hack-uri față de anul precedent (2012), ceea ce amuzant este că numărul vulnerabilităților nu a crescut cu același procent. Dar chiar și o mică creștere a vulnerabilităților afectează mult mai multe site-uri web, datorită utilizării crescute a WordPress și a produselor bazate pe WordPress.

  • 41% dintre WordPress-uri pirate au fost piratate printr-o vulnerabilitate de securitate pe platforma lor de găzduire.
  • 29% au fost piratate printr-o problemă de securitate în tema WordPress pe care o foloseau.
  • 22% au fost piratate printr-o problemă de securitate în pluginurile WordPress pe care le foloseau.
  • 8% au fost piratate deoarece aveau o parolă slabă.
  • Din cele de mai sus, putem concluziona că mai mult de 51% din site-urile WordPress piratate au fost piratate printr-o vulnerabilitate în temele sau pluginurile WordPress pe care le foloseau.

O majoritate covârșitoare a hacks a apărut ca urmare a instalării de software sub formă de pluginuri, teme și deoarece furnizorii de servicii de găzduire web nu au reușit să consolideze în mod adecvat securitatea la capătul serverului.

Nu are niciun rost să discutați măsurile de protejare a site-ului dvs. web, înainte de a aborda care sunt opțiunile bune pe care le aveți în ceea ce privește securitatea atunci când vine vorba de găzduire, teme și pluginuri. Și cu siguranță voi discuta despre modul în care puteți găsi software-uri terțe bune și găzduire sigură pentru site-ul dvs. web, înainte de a începe să recomand măsuri de securitate specifice pentru a consolida securitatea WP.

Concluzie

Site-urile web WordPress sunt rareori vulnerabile din cauza erorilor din codul de bază al sistemului de gestionare a conținutului. Dar un site web nu funcționează exclusiv pe baza sistemului de gestionare a conținutului, necesită o gazdă web pentru a găzdui CMS pe web, teme pentru a-l face elegant și pluginuri pentru a adăuga funcțiile necesare. Acum, adăugarea mai multor straturi de software terță parte la instalarea dvs. WordPress începe să vă facă securitatea puțin poroasă, dacă nu este făcută corect.

Nucleul dvs. WordPress, pluginurile și temele și gazda web trebuie să comunice pentru a vă menține site-ul WordPress în funcțiune. Această interacțiune are uneori defecte și face site-urile vulnerabile.

Sigur, 8% din site-urile web pot fi compromise din cauza parolelor slabe, dar există o cantitate covârșitoare de dovezi care sugerează că adăugarea de pluginuri / teme scrise greșit sau o gazdă web care rulează pe software învechit este cauza principală a unui procent mare din toate site-urile WordPress piratat sau închis.

Acum, după ce am stabilit o anumită claritate cu privire la cauzele vulnerabilităților WordPress, ca parte a următoarei postări din seria WP Security, voi discuta pașii pe care trebuie să îi faceți pentru a vă consolida securitatea WordPress.

Dacă ați avut vreodată site-ul dvs. WordPress compromis de un hack sau a căzut victima unui atac DDOS, vă rugăm să împărtășiți detaliile. Fie Aigars, fie eu, vom încerca să remediem problema, dacă aceasta este în puterea noastră. Noroc