Безопасен ли ваш сайт на WordPress? Уязвимы ли сайты WordPress?

Два или три десятилетия назад грабеж ограничивался взломом и проникновением с целью украсть чьи-то деньги или ценности. Сегодняшние озорники и грабители принимают форму хакеров. Любой, кто обнаруживает и использует уязвимости в программном обеспечении в целях личной выгоды или по политическим мотивам.

Прежде чем я начну, вы должны знать, что в этой статье не рассматриваются подробности безопасности WP, а обсуждаются причины уязвимостей WordPress. Если это не то, что вы ищете, я бы посоветовал вам прочитать - «Повышение безопасности WordPress - Полное руководство по защите сайтов WordPress». Хотя я должен заявить, что понимание природы уязвимостей WP в прошлом дает отличное представление о том, как вы можете обеспечить протоколы безопасности своего веб-сайта.

Почему люди взламывают веб-сайты и центры обработки данных? Взлом веб-сайтов, содержащих информацию о клиентах, адреса электронной почты, номера кредитных карт и т. Д., Более выгоден, чем ограбление банка. Если у вас есть достаточно успешный веб-сайт, я уверен, что уже были предприняты сотни, если не тысячи попыток получить доступ к информации вашего веб-сайта.

Совсем недавно сайт AshleyMadison.com был взломан, и данные о 37 миллионах пользователей были украдены. Хакеры потребовали закрытия веб-сайта, в противном случае они раскрыли детали украденной информации пользователя, включая сексуальные фантазии. Это дает вам представление о том, какие разрушения может вызвать хакер, просто получив доступ к информации.

Интернет-безопасность - очень важная тема, которая становится все более актуальной, учитывая количество веб-сайтов, которые появляются для сбора личной информации своих пользователей.

До 65% Интернета работает с WordPress в качестве системы управления контентом, поэтому сегодня я буду обсуждать безопасность WordPress и то, как сайты WP подвергались атакам или взламывались в прошлом.

Зачем инвестировать в передовые методы безопасности?

• Вы обязаны своим клиентам и клиентам, которые доверяют вам конфиденциальную личную информацию, чтобы обеспечить ее безопасность.
• Ваш сайт взломали - вы потеряете деньги.
• Ваш сайт взломали - ваш рейтинг в поисковых системах попадает в ад.

Веб-сайты WordPress взламывают тысячами, если не сотнями тысяч. Не каждый веб-сайт сообщает о том, что в прошлом их взламывали. Как вы могли догадаться, это не слишком хорошая поддержка их бренда.

Я хотел бы пролить свет на необходимость этой статьи о безопасности WordPress.

Согласно исследованию, опубликованному Сандро Гуччи (основатель Enable Security).

• 73,2% самых популярных установок WordPress уязвимы для уязвимостей, которые можно обнаружить с помощью бесплатных автоматизированных инструментов.
• Только 7814 веб-сайтов (18,55%) обновились до WordPress 3.6.1, это была последняя версия WP на момент проведения теста.
• 13 034 веб-сайта (30,95%) по-прежнему использовали уязвимую версию WordPress версии 3.6. В WordPress 3.6 на тот момент было 5 известных уязвимостей.

И если бы вам было интересно, ну, это просто несправедливая обобщенная характеристика небольших неизвестных веб-сайтов где-нибудь в темной сети, вы бы ошиблись. Статистические данные были получены на основе исследования около 42000 веб-сайтов WordPress, входящих в список самых популярных веб-сайтов Alexa. Это огромное количество уязвимых веб-сайтов для предположительно наиболее посещаемых веб-сайтов в сети. Эти веб-сайты собирают огромное количество информации о своих посетителях и подписчиках.

Статистика была верной по состоянию на сентябрь 2013 года, я не думаю, что с тех пор она сильно отклонилась, и даже если бы это было так, статистика, отображаемая здесь, отображает масштаб проблем безопасности, которые преследуют WordPress.

Если вам нужно больше доказательств того, что WordPress может быть взломан. Я отсылаю вас к исследованию Netcraft,

• В феврале 2014 года 12 000 блогов WordPress служили платформами для фишинговых сайтов.
• Более 8% всех URL-адресов вредоносных программ, заблокированных Netcraft для распространения вредоносных программ в Интернете, составляли блоги WordPress.

Я должен отметить, что ни один из этих блогов не велся на Automattic wordpress.com. Это должно достаточно ясно продемонстрировать, что даже WordPress, если не использовать его с осторожностью и иметь некоторые знания о безопасности WP, может оказаться уязвимым. Другая причина этого может быть связана с тем, что все блоги, размещенные на wordpress.com, обновляются почти сразу после выпуска обновлений WordPress. Следует отметить, что с тех пор в WP версии 3.7 были введены автоматические обновления WordPress для защиты веб-сайтов от эксплойтов нулевого дня.

И даже после этого WordPress возникло множество проблем с безопасностью. Ознакомьтесь с этим списком уязвимостей WordPress в разных версиях платформы.

Теперь ничего не поделаешь, чтобы этого не произошло, новые уязвимости будут обнаруживаться почти всегда. Очевидно, что основная команда WP очень серьезно подошла к безопасности и сделала WordPress намного безопаснее.

Но, как и в случае с любым другим популярным программным обеспечением, использование уязвимостей становится более прибыльным, когда их начинает использовать больше людей.

Не доверяй мне? Если вы считаете, что каким-то образом WordPress внезапно избавится от всех уязвимостей, посмотрите этот график!

Хотя количество уязвимостей со временем уменьшилось по сравнению с максимумами в 2007 и 2014 годах, стимул для обнаружения новых уязвимостей и использования их постоянно растет, учитывая растущую прибыльность из-за растущей популярности WordPress.

WordPress может быть безопасным из коробки, но после добавления такого количества плагинов / тем и пользовательского кода количество уязвимостей начинает расти очень быстро.

При этом мы можем внести небольшие изменения в ваш WordPress, чтобы сделать его намного более безопасным. Во-первых, нам нужно иметь полное представление о безопасности WordPress, это очень помогает в выяснении причин сбоев в безопасности.

Вы можете быть удивлены, узнав, что основная платформа WP очень редко оказывается виноватой в случаях нарушения безопасности. Гораздо более вероятно, что что-то, что вы добавили в свой WP, создает уязвимость, которую могут использовать хакеры.

Как взломаны сайты WordPress?

Сложность обеспечения полной безопасности в том, что такого нет.

Предполагая, что ваш WordPress полностью безопасен, у вас все еще есть Apache, FTP-клиент, MySQL и любое программное обеспечение, работающее на вашем сервере, о котором вам нужно беспокоиться. Ваш веб-сайт безопасен настолько, насколько надежно его самое слабое звено. И это включает в себя качество программного обеспечения вашего хоста, темы и плагины, на которых работают ваши веб-сайты.

Хотел бы я иметь более свежую статистику, я тоже могу указать вам, но это исследование, представленное в виде инфографики в блоге WpWhiteSecurity, дает много информации о том, как взламываются веб-сайты WordPress и что делает их уязвимыми.

Исследование проводилось на основе информации о 170 000 веб-сайтов, которые были взломаны в 2012 году. Количество взломов увеличилось на 18% по сравнению с предыдущим годом (2012), что забавно, но количество уязвимостей не увеличилось на тот же процент. Но даже небольшое увеличение уязвимостей затрагивает гораздо больше веб-сайтов из-за более широкого использования WordPress и продуктов на основе WordPress.

• 41% взломанных WordPress были взломаны через уязвимость системы безопасности на их платформе хостинга.
• 29% были взломаны из-за проблемы безопасности в используемой ими теме WordPress.
• 22% были взломаны из-за проблемы безопасности в плагинах WordPress, которые они использовали.
• 8% были взломаны из-за ненадежного пароля.
• Из вышесказанного мы можем сделать вывод, что более 51% взломанных сайтов WordPress были взломаны через уязвимости в темах WordPress или плагинах, которые они использовали.

Подавляющее большинство взломов произошло в результате установки программного обеспечения в виде плагинов, тем и из-за того, что провайдеры услуг веб-хостинга не смогли должным образом повысить безопасность на стороне сервера.

Нет смысла обсуждать меры по защите вашего веб-сайта, прежде чем обсуждать, какие у вас есть хорошие варианты с точки зрения безопасности, когда речь идет о хостинге, темах и плагинах. И я обязательно расскажу, как найти хорошее стороннее программное обеспечение и безопасный хостинг для своего веб-сайта, прежде чем я начну рекомендовать конкретные меры безопасности для усиления безопасности WP.

Заключение

Веб-сайты WordPress редко бывают уязвимыми из-за ошибок в основном коде системы управления контентом. Но веб-сайт не работает исключительно на основе системы управления контентом, ему требуется веб-хост для размещения CMS в Интернете, темы, чтобы сделать его привлекательным, и плагины для добавления необходимых функций. Теперь добавление нескольких уровней стороннего программного обеспечения к вашей установке WordPress начинает делать вашу безопасность немного уязвимой, если это не сделано правильно.

Ваше ядро ​​WordPress, плагины и темы и веб-хост должны взаимодействовать, чтобы ваш сайт WordPress работал. У этого взаимодействия иногда есть недостатки, и это делает веб-сайты уязвимыми.

Несомненно, 8% веб-сайтов могут быть взломаны из-за слабых паролей, но существует огромное количество доказательств того, что добавление плохо написанных плагинов / тем или веб-хостинга, работающего на устаревшем программном обеспечении, является основной причиной большого процента всех веб-сайтов WordPress. взломали или выключили.

Теперь, когда мы установили некоторую ясность в отношении причин уязвимостей WordPress, в рамках следующей статьи из серии статей о безопасности WP я расскажу о шагах, которые необходимо предпринять для повышения безопасности WordPress.

Если ваш сайт WordPress когда-либо был взломан в результате взлома или стал жертвой DDOS-атаки, поделитесь подробностями. Либо Айгарс, либо я постараюсь решить проблему, если это будет в наших силах. Ваше здоровье