Оскільки WordPress працює понад 40% Інтернету, він є популярною метою для атак. Якщо хакеру вдасться зламати один веб-сайт WordPress, він потенційно має ключ до мільйонів інших, включаючи ваш.
Частиною безпеки вашого сайту є розуміння ризиків. Для власника веб-сайту це може бути складним завданням. Але знаючи, що може статися, ви можете зробити необхідні кроки для захисту свого сайту.
У цій статті обговоримо важливість захисту вашого сайту WordPress та розглянемо чотири основні загрози проти нього. І поділимося плагінами та передовими методами, які допоможуть захистити ваш сайт від кожної конкретної небезпеки.
Важливість захисту вашого веб-сайту WordPress
Кібератаки ростуть: фахівці із запобігання шахрайству Arkose Labs повідомляють про 20-відсотковому зростанні цифрових атак у 2020 році. За цей період Arkose Labs також зафіксувала найвищий рівень атак за допомогою ботів - всього було виявлено 1,3 мільярда атак.
Хакери завжди вигадують нові стратегії. Є навіть підстави вважати, що кіберзлочинці намагаються використати пандемію у своїх інтересах. ФБР повідомило про 300-відсоткове зростання кіберзлочинів з початку спалаху COVID-19.
WordPress підтримується командою досвідчених розробників, які працюють над забезпеченням безпеки платформи. Однак власники веб-сайтів часто використовують плагіни WordPress і сторонні теми. Це додає додатковий код на ваш сайт, що означає більше потенційних лазівок, які може використовувати хакер.
Якщо кіберзлочинцеві вдасться отримати доступ до вашого сайту, він може завдати серйозної шкоди: зіпсувати сайт неприйнятним контентом, видалити важливі дані або обдурити ваших клієнтів. Якщо ви не створили резервну копію, готуйтеся виявити, що хакер видалив весь ваш сайт, не залишивши надії на відновлення вашого контенту.
Ця шкідлива діяльність може призвести до втрати довіри клієнтів, зниження конверсії та доходу. Також є ймовірність, що ваш сайт потрапить до чорного списку пошукових систем.
Якщо це станеться, ваш контент зникне зі сторінок результатів пошукової системи (SERP), і органічний трафік швидше за все різко впаде. Навіть якщо вам вдасться відновити свій сайт, відновлення статусу в пошуковій системі може виявитися довгим та важким.
4 поширені види атак на WordPress
Щоб захистити ваш сайт та відвідувачів від хакерів, важливо захиститись від поширених атак WordPress. Розглянемо чотири найпопулярніші погрози.
1. Атаки методом грубої сили
Атака перебору, коли хакер намагається підібрати пароль до панелі керування, використовуючи сотню чи навіть тисячі відомих комбінацій паролів та імен користувачів. Атаки методом грубої сили – найпопулярніший метод вторгнень на всіх платформах. Однак вони особливо проблематичні для WordPress.
За замовчуванням усі адміністратори WordPress мають те саме ім'я користувача («admin»). Якщо ви не зміните це автоматично згенероване ім'я користувача, хакери з перебором вже знають половину ваших облікових даних – їм потрібно лише вгадати пароль.
Щоб захистити ваш сайт від атак методом перебору, важливо використовувати унікальне ім'я адміністратора і дотримуватися рекомендацій щодо вигадування паролів: використовувати мінімум 8 символів, а також поєднання великих і малих літер, цифр і символів.
Також розумно уникати загальних фраз, особливо тих, які часто пов'язані з паролями, наприклад parol або 12345. Ми також рекомендуємо уникати будь-яких слів, які стосуються вашого веб-сайту, компанії, розташування або особистих даних.
Для посилення пароля можна використовувати генератор. Генератор надійних випадкових паролів та LastPass – два популярні варіанти:
Крім того, ви можете створити пароль із панелі керування WordPress. В адмінці просто перейдіть до «Користувачі» > «Всі користувачі» та виберіть свій профіль.
Потім у розділі «Керування обліковим записом» натисніть «Встановити новий пароль», щоб згенерувати пароль випадковим чином:
Також непогано обмежити кількість спроб входу на ваш сайт за допомогою такого плагіна, як Спроби обмеження входу перезавантажені. Це завадить ботам атакувати вашу сторінку входу за допомогою тисяч паролів у швидкій послідовності.
Дивіться також:
2. Атаки WordPress за допомогою SQL-ін'єкцій
Атаки з використанням SQL-ін'єкцій – це спроби людини отримати доступ до панелі управління WordPress, впроваджуючи шкідливі SQL-запити. База даних MySQL вашого веб-сайту запускатиме цей код, а хакер може отримати доступ до вашого веб-сайту.
Кіберзлочинці можуть запускати атаки з використанням SQL-ін'єкцій через будь-який розділ вашого сайту, який збирає дані користувача. Це означає, що така нешкідлива форма, як контактна форма, розділ коментарів або вікно пошуку, може поставити під загрозу вашу базу даних.
В ідеалі кожне поле введення на вашому сайті має бути налаштоване на перевірку безпеки та дезінфекцію всіх даних, що вводяться користувачем перед їх пересиланням у вашу базу даних. Цей процес гарантує, що сайт прийме лише дійсні дані. Однак, якщо ці поля введення неправильні, хакери можуть використовувати їх для впровадження шкідливого коду.
MySQL вразливий для атак з використанням ін'єкцій, тому важливо постійно оновлювати програмне забезпечення бази даних. Ви повинні ставитись до своїх облікових даних для входу в MySQL так само обережно, як і до пароля WordPress.
Використання унікального імені бази даних може ускладнити хакерам ідентифікацію вашої бази даних. Якщо ви використовуєте cPanel, можете змінити ім'я своєї бази даних WordPress за допомогою інструмента phpMyAdmin.
Багато атак з використанням ін'єкцій націлені на теми та плагіни, які дозволяють відвідувачам вводити дані. Це ще одна причина уважно перевіряти всі теми та плагіни перед додаванням їх на свій сайт та регулярно оновлювати інше програмне забезпечення.
3. Міжсайтовий скриптинг (XSS)
Cross-Site Scripting (XSS) атаки – це коли хакер завантажує шкідливий код JavaScript на сайт WordPress. XSS-атаки зазвичай призначені для збору даних про ваших клієнтів, що може бути особливо катастрофічним, якщо ваш сайт обробляє конфіденційну інформацію, таку як платіжні реквізити.
Успішна XSS-атака також може перенаправити ваших відвідувачів на інший веб-сайт на вибір хакера, внаслідок чого веб-трафік різко впаде. Це може вплинути на вашу репутацію, особливо якщо атака направляє ваших клієнтів на шкідливий або розсилаючий спам веб-сайт.
Захистити свій сайт від XSS-атак можна за допомогою брандмауера веб-застосунків (WAF), такого як плагін Wordfence. Цей брандмауер рівня програми фільтрує шкідливі запити до того, як вони потраплять на ваш сайт:
Після активації Wordfence потрібно налаштувати брандмауер, перейшовши до Wordfence > Firewall (Брандмауер).
4. Розподілені атаки типу "відмова в обслуговуванні" (DDoS) на WordPress
Розподілені атаки типу «відмова в обслуговуванні» (DDoS) часто фігурують у заголовках газет, оскільки їх жертвами стали багато відомих організацій. Сюди входять такі важкоатлети, як Netflix та Amazon.
DDoS-атака відбувається, коли хакери бомбардують сервер запитами. Зрештою сервер перевантажується і може навіть вийти з ладу. WAF може ідентифікувати підозрілі запити та запобігти їх доступу до вашого веб-сайту.
Representational State Transfer (REST) інтерфейс прикладного програмування (API) дає розробникам можливість використовувати WordPress з іншими технологіями. Однак зловмисні треті сторони можуть використовувати REST API як частину своїх DDoS-атак. Якщо ваш сайт активно не використовує REST API, ви можете вимкнути його за допомогою такого плагіна, як Disable WP Rest API.
Так само, хоча XML-RPC корисний для включення пінгбеків та трекбеків, хакери потенційно можуть використовувати його як частину своїх DDoS-атак. Якщо ви не використовуєте XML-RPC, вимкніть його за допомогою такого плагіна, як Вимкнути XML-RPC-API:
Ваш хостинг-провайдер також може захистити ваш сайт від DDoS-атак.
WordPress – одна з найпопулярніших систем керування контентом (CMS) у світі. На жаль, така популярність робить ваш сайт WordPress метою різних типів кібератак.
У цій статті ми обговорили чотири найбільш поширені типи атак WordPress і способи убезпечити ваш сайт.
- Атаки грубою силою. Коли хакер використовує витончені методи, щоб вгадати облікові дані. Ви можете захистити свій сайт від них, дотримуючись рекомендацій щодо використання паролів та використовуючи генератор паролів, такий як LastPass.
- Атаки з використанням SQL-ін'єкцій. Хакер може вводити шкідливі запити SQL через будь-яке поле введення користувача. Можна утруднити доступ до бази даних, змінивши її ім'я за промовчанням.
- Міжсайтовий скриптинг (XSS). Кіберзлочинці можуть завантажувати шкідливий код JavaScript на сайт WordPress. Тут допоможе використання WAF, наприклад, плагіна Wordfence.
- Розподілені атаки типу «відмова в обслуговуванні» (DDoS). Шкідливі треті сторони можуть спробувати завалити ваш сервер запитами. Можна запобігти цим атакам, відключивши непотрібні API і вибравши безпечний керований хостинг WordPress.
Джерело: torquemag.io
Коментарі до запису: 1
Гарна пам'ятка. Дякую!
Якщо можливо, розкрийте тему в дрібницях: що ще можливо і як захистити від цього свій сайт на WordPress.