Безопасность WordPress на основе фактов и статистики

Опубликовано: 2022-12-12

WordPress является распространенной целью для злоумышленников из-за огромного количества людей, которые его используют. По некоторым оценкам, общее количество веб-сайтов WordPress в Интернете составляет 455 миллионов. Это означает, что на WordPress работает 43,1% всех веб-сайтов в Интернете.

Интересная статистика

Выяснить, сколько веб-сайтов взломано, сложно. На это есть несколько причин. Инциденты взлома, как известно, занижаются. Если закон не обязывает раскрывать инциденты, многие администраторы и владельцы веб-сайтов не хотят этого делать. Многие не знают, что их взломали, поэтому сообщить об этом невозможно.

С учетом этих предостережений IT Governance — поставщик решений для управления киберрисками и конфиденциальностью — только в 2021 году сообщила о 5,1 миллиардах (это четверка) нарушений. В эту цифру включены все нарушения. Глядя на другой отчет, на этот раз Sophos, ежедневно взламываются 30 000 веб-сайтов (в среднем). Это соответствует взлому 11 миллионов веб-сайтов в год. Мы знаем, что 43% всех веб-сайтов работают на WordPress, что позволяет нам сделать обоснованное предположение о том, что ежегодно взламываются 4,7 миллиона веб-сайтов WordPress. Это почти 13 000 веб-сайтов WordPress, взламываемых каждый день.

Это очень большое число — и возникает вопрос, почему WordPress так часто взламывают? Именно это мы и рассмотрим в этой статье — на основе фактов и статистики.

WordPress — насколько он безопасен на самом деле?

WordPress — это проект с открытым исходным кодом, над которым активно работают многие люди по всему миру. Сообщество WordPress очень сильное и состоит из самых умных и преданных своему делу людей, которых вы когда-либо встречали. С таким количеством людей, вовлеченных в процесс разработки и упускающих из виду процесс разработки, WordPress имеет тенденцию быть очень безопасным.

Сила WordPress также может быть его падением, как покажет нам статистика, когда мы углубимся в то, как взламываются веб-сайты WordPress.

Самые сильные и слабые стороны WordPress

Ни одна система не идеальна, и это также относится к ядру WordPress. Ядро WordPress представляет собой основные файлы до внесения каких-либо изменений (таких как плагины, темы и конфигурации). Фактически, WordPress Core составлял 0,58% всех уязвимостей в 2021 году — согласно отчету Sucuri о статистике взломов WordPress. Это чуть более половины процента всех инцидентов.

Далее идут темы и плагины — именно в таком порядке. На самом деле темы составляют 6,61% всех уязвимостей, а плагины — целых 92,81%.

Sucuri далее разбивает темы и плагины по тому, являются ли они бесплатными или премиальными. В то время как премиальные темы и плагины составляют 8,62% всех сторонних уязвимостей, на их бесплатные аналоги приходится 91,38%.

Почему хорошие плагины стоят денег

Есть много причин, почему это так. Плагины и темы бывают всех форм и размеров — от известных разработчиков до теневых. Правда в том, что при правильном подходе разработка плагинов стоит недешево. Профессиональным разработчикам, работающим полный рабочий день, нужно платить, поддерживая хорошую инфраструктуру, а средства тестирования также увеличивают счета.

Это не означает, что все бесплатные плагины представляют угрозу безопасности — это далеко не так. Многие разработчики посвящают свое свободное время созданию качественных бесплатных плагинов. Однако, если вам нужен плагин, который тщательно тестируется и поддерживается, возможно, вам подойдет плагин премиум-класса.

Уязвимости WordPress — цифры

Количество известных уязвимостей WordPress растет с каждым годом. На самом деле WPScan добавил в свою базу данных 1437 новых уязвимостей и 514 за год до этого. Только за ноябрь 2022 года было добавлено 64 новых уязвимости.

Учитывая распределение уязвимостей, которое мы обсуждали ранее, эти цифры соответствуют количеству доступных плагинов WordPress. В репозитории WordPress.org перечислены более 60 000 плагинов, доступных на момент написания статьи, и ежедневно добавляются новые. Плагины также можно приобрести напрямую у разработчиков или загрузить из неофициальных источников.

Из-за постоянно меняющегося ландшафта уязвимостей WordPress целевые атаки являются скорее исключением, чем правилом. По мере исправления старых уязвимостей и появления новых хакерам может быть трудно идти в ногу со временем. Это также делает целевые атаки очень трудоемкими, поэтому большинство атак автоматизированы.

Автоматические атаки используют инструмент для автоматического сканирования многих веб-сайтов, выдавая предупреждения при обнаружении уязвимости. Из-за этого большинство нападений носят неизбирательный характер, а не являются результатом недовольства. Но какие инструменты используют хакеры для таких автоматизированных атак? Давай выясним.

Как взламывают сайты WordPress

WordPress можно взломать разными способами — хакеры могут быть очень изобретательны в поиске целей. Это делает невозможным и опасным перечисление всех способов взлома веб-сайта WordPress, поскольку это может создать ложное чувство безопасности. Однако мы можем рассмотреть один пример, который иллюстрирует процесс, который хакер обычно использует для взлома веб-сайта WordPress.

WPScan — сканер уязвимостей WordPress.

wpscan
Интерфейс WPScan: сканирование безопасности WordPress

Один распространенный инструмент, который часто используется хакерами, называется WPScan. Это бесплатный инструмент, который легко доступен в Интернете. Это сканер уязвимостей, который сканирует веб-сайты WordPress и выявляет известные проблемы и небезопасные конфигурации. Запустив сканирование безопасности WordPress по умолчанию с помощью WPScan, вы мгновенно обнаружите:

  • Версия WordPress
  • Установленные плагины, их версия и путь, по которому они установлены
  • Установленные темы, их версия и путь, по которому они установлены

WPScan включает в себя другие функции, такие как сканирование списка пользователей WordPress. Эти сканирования идентифицируют и перечисляют всех пользователей, зарегистрированных на веб-сайте WordPress, что дает хакерам представление о том, как работает ваш WordPress. Вооружившись этой информацией, хакер может затем запустить вторичную атаку, такую ​​как атака подбором пароля WordPress, чтобы получить доступ к вашей системе.

Здесь важно отметить, почему безопасность пароля WordPress так важна для общей безопасности вашего веб-сайта WordPress. Слабый пароль позволяет относительно легко прорваться атаке грубой силы. В равной степени важно убедиться, что все учетные записи используют надежные пароли. Скомпрометированная учетная запись участника может не нанести большого ущерба, но путем повышения привилегий на скомпрометированном веб-сайте злоумышленник может получить административные привилегии, чтобы нанести ущерб.

Почему хакеры взламывают

Как только злоумышленнику удалось получить доступ к вашему веб-сайту WordPress, он может предпринять несколько действий, например:

  • Создайте новую учетную запись с правами администратора
  • Сбросьте пароль существующих учетных записей, чтобы другие пользователи не могли восстановить доступ к своему WordPress.
  • Изменить роль существующей неактивной учетной записи
  • Измените содержимое, чтобы внедрить в него вредоносный код.
  • Вмешиваться в файлы исходного кода WordPress для добавления вредоносного кода, например бэкдоров.
  • Добавить редиректы в файлы htaccess

Защита вашего WordPress от атак

Как мы видели, злоумышленники могут использовать несколько подходов для взлома веб-сайта WordPress. Таким образом, само собой разумеется, что для обеспечения безопасности веб-сайта WordPress требуется более целостный подход, чем просто обеспечение наличия у пользователей пароля.

  • Исследование — ищете ли вы хостинг-провайдера WordPress или новый плагин, обязательно найдите время, чтобы проверить их заранее. Форумы могут помочь вам быстро узнать, что клиенты думают о продуктах или услугах, в то время как плагины должны иметь частые обновления и отличную поддержку клиентов.
  • Тест — выбор лучшего плагина для вашего WordPress не должен быть игрой в угадайку. Большинство авторитетных поставщиков плагинов предлагают бесплатную пробную версию своих премиальных плагинов. Это позволяет вам протестировать их перед фиксацией.

После того, как вы определились со своей настройкой, вам необходимо убедиться, что она правильно настроена для обеспечения максимальной безопасности. Настройка безопасного WordPress — это не разовая работа, а непрерывный процесс, который включает в себя:

  • Надежные пароли . Надежная политика паролей WordPress может помочь вам гарантировать, что атаки грубой силы закончатся вовремя, прежде чем они будут успешными. Используйте здоровое сочетание прописных и строчных букв, цифр и специальных символов. Кроме того, установите политику истечения срока действия паролей, чтобы обеспечить частую смену паролей.
  • 2FA — 2FA, сокращение от двухфакторной аутентификации, добавляет дополнительный уровень аутентификации к вашему входу в WordPress. При использовании 2FA, даже в случае успешной атаки методом перебора, без доступа к вашему смартфону хакеры не смогут войти в систему.
  • Обновление — постоянно обновляйте WordPress, плагины и темы. Внедрение обновлений WordPress может осуществляться по-разному, как показывает этот недавний обзор. Это может помочь вам сбалансировать административные требования и требования безопасности без особых усилий.
  • Монитор . Внимательно следите за активностью пользователей и системы с помощью подключаемого модуля безопасности, такого как журнал активности WP. Это поможет вам выявить подозрительное поведение на ранней стадии и пресечь его до того, как будет нанесен ущерб.

Это ни в коем случае не исчерпывающий список, но это хорошая отправная точка. Безопасность WordPress — это развивающаяся тема, требующая постоянного внимания. Следить за блогом по безопасности WordPress — это один из способов быть в курсе событий, и вы можете читать его, потягивая утренний кофе.

Обеспечение безопасности WordPress

Безопасность WordPress — это цикл, а не процесс, у которого есть начало и конец. Он требует постоянного внимания и настройки для реагирования на возникающие угрозы. Хотя может показаться, что это слишком много работы, как это часто бывает, техническое обслуживание лучше, чем ремонт. Выделяя несколько часов каждый месяц, вы можете значительно снизить риски безопасности, помогая вам обеспечить постоянный рост вашего веб-сайта.