Сайти на WordPress стали дуже популярною метою хакерів. Це — відомий факт. Тисячі сайтів WordPress страждають від злому хакерами за добу. Тим не менш, завдяки своїй простоті у використанні, кількість сайтів на цій платформі займає понад 20% всього інтернет простору. Але багато підприємців ставляться до них із недовірою, вважаючи їх небезпечними.
Давайте розбиратися.
Дивіться також:
- Що робити, є ваш WordPress-сайт зламали хакери
- Підвищуємо безпеку сайту разом із плагіном Better WP Security
- Як знайти та видалити шкідливий код зі зламаного WordPress сайту
- Як захистити свій WordPress сайт за допомогою Sucuri
- Загрози безпеки WordPress, на які варто звернути увагу
Що робить веб-сайти на WordPress небезпечними?
Насправді, ядро WordPress досить безпечне нарівні зі стандартною установкою WordPress, і за багато років було виявлено лише кілька вразливих місць у його безпеці. Але так як платформою дуже просто і легко користуватися, багато хто використовує WordPress як блоги та веб-сайти для просування своїх продуктів. І ось із цього і починаються проблеми.
Як правило, не потрібно бути супер-професіоналом, щоб створити свій сайт або блог на WordPress та використовувати його в потрібних цілях. Але з іншого боку, у цьому полягає дуже велика проблема. Недосвідчені користувачі починають встановлювати різні програми на свої сайти і не завжди доводять справу до кінця. Вони і стають головною метою хакерів та інструментом для злому сайтів.
Ось як це відбувається: новачок у роботі з WordPress може легко встановити плагіни на свій сайт. І він встановлює відразу кілька, половина з яких зовсім необов'язкова і є непотрібною. Далі він наймає дизайнера, який створює йому привабливу тему, і гарний сайт готовий.
Потім відбувається знаєте що? Протягом кількох днів веб-сайт зламують! Як так? Якщо стандартні установки є безпечними, то що стало ложкою дьогтю, яка зіпсувала всю цю прекрасну історію?
Збої у безпеці WordPress
Багато хто очікує, що на тлі простоти у використанні ресурс WordPress має бути досить добре захищеним. І ми справді намагаємося забезпечити сайтам безпеку. Але все не так просто. Якщо ви введете у пошук запит «Безпека сайту WordPress», то знайдете тисячі статей на тему, як убезпечити свій сайт на WordPress. Що найцікавіше, ви виявите зовсім різні поради у кожній із них.
Але майже всі вони створюють хибну думку. Начебто все, що вам потрібно зробити – це встановити та активувати спеціальний плагін або навіть кілька, змінити щось там у налаштуваннях та попрацювати над кодом, якщо ви є гуру PHP. І все – ваш сайт у повній безпеці! Звучить усе дуже просто, але практично цього недостатньо. Досягнення безпеки сайту – це не одноразова дія.
Справа в тому, що «порція» безпеки повинна вноситися щоразу, коли ви робите якусь операцію на своєму сайті. І між забезпеченням безпеки установки на WordPress та її підтримкою протягом кількох років існує дуже велика різниця.
Підтримка безпеки сайту на WordPress
У всіх існуючих в інтернеті посібників з безпеки сайту на WordPress є один загальний недолік: всі вони розповідають про те, як убезпечити сайт, але не пояснюють, як зберегти цю безпеку на роки вперед.
І після прочитання ви думаєте, що все так легко і просто підписуєтеся на онлайн сканер шкідливих програм WordPress. Сканер, звичайно, дуже хороша штука, але він не має нічого спільного із забезпеченням самої безпеки. Ви отримуєте повідомлення про наявність шкідливої програми після того, як ваш сайт був нею вражений.
Не зрозумійте неправильно. Це не означає, що не потрібно використовувати онлайн-сканери, адже вони можуть бути дуже корисними. Навпаки, використовуйте їх як частину стратегії безпеки для свого сайту WordPress. І навіть якщо ви розмістите сайт на Fort Knox, то все одно існує ймовірність злому. Це трапляється і з глобальними сайтами, як, наприклад, Google, Facebook, Amazon та eBay, у яких працюють найкращі фахівці із захисту безпеки сайтів у світі. Так що це може статися і з вашим сайтом.
Тому слід стежити за всім, що відбувається на вашому сайті. Це перший крок до успіху на шляху до його безпеки. На нормально функціонуючих інтернет майданчиках передбачено спеціальну документацію для відстеження всіх дій користувачів. Якщо у вас мультисайтова установка з десятками сайтів та сотнями користувачів, то ймовірність атаки сайту зростає у рази.
Файли логів та журнали дій
Лог-файли та журнали дій відіграють величезну роль у безпеці веб-сайту, сервера, сервісу та іншого пристрою або програмного забезпечення. Багато видаляють ці важливі файли з жорсткого диска, ніж вони займали місце. І навіть не підозрюють, наскільки вони корисні.
А саме вони допомагають системним адміністраторам стежити за діями користувачів. Поряд із цим вони запобігають атакам, і у разі її виникнення, визначають причину та усувають її.
Використання логів для запобігання атакам
Хакери знають багато способів злому сайтів. Але якщо ви використовуєте на сайті плагін для перегляду журналу дій, то ви легко побачите будь-які спроби злому і навіть зможете їх вчасно запобігти. Плагін повідомить адміністратора, з якої IP-адреси були вжиті подібні дії.
Також плагін перегляду журналів дій повідомляє про зміну паролів користувачів, поштових адрес, реєстрації нових користувачів. Тому ви помітите, якщо хакер оволодіє доступом до облікового запису вашого сайту і спробує створити профіль нового користувача для заподіяння сайту шкоди.
wordpress-плагіни для перевірки логів та журналів дій
У бібліотеці WordPress ви знайдете чимало плагінів для моніторингу журналу дій. Сьогодні ми пропонуємо вам три з них.
Журнал аудиту безпеки WP
Мабуть, один із найскладніших плагінів. Тим не менш, він не тільки відстежує всі дії користувачів, але й плагіни, віджети, теми, налаштування, оновлення та багато іншого. Так він повідомляє про зміну пароля конкретним користувачем, а не просто про зміни в профілі.
Аудиторський слід
Цей плагін в основному сфокусований на відстеження авторизації, зміні файлів, коментарів, записів та сторінок. Він також моніторить зміни тем і відвідування сторінок, але повідомляє лише про самі дії без будь-яких деталей. Наприклад, якщо користувач вніс зміни до свого профілю, то плагін не повідомляє, які саме. Але у використанні Audit Trail є один плюс - його можна експортувати до файлу CSV. І хоч плагін давно не оновлювався, багато хто, як і раніше, використовує його.
Проста історія
Плагін надає більше даних, ніж дії користувачів. Наприклад, активацію та відключення плагінів, неправильно введені паролі, віджети, активність движка bbPress. Відстеження плагіна bbPress є досить незвичайною функцією і до того ж обов'язковою для всіх користувачів форуму bbPress.
Але це ще не все. Журнал дій у цій плагіні доступний через RSS за допомогою унікальної URL-адреси. Завдяки цьому адміністратор сайту може переглядати журнали активності та дій з будь-якої точки без потреби заходити до адмінки. Але подібно до Audit Trail, плагін Simple History не повідомляє про деталі дій користувачів.
Висновок
Як бачите, за допомогою відстеження активності на своєму сайті на WordPress ви можете запобігти зламування хакерами. Крім того, використовуючи різні інструменти, ви дізнаєтеся ще багато чого цікавого про поведінку користувачів на сайті.
Тому якщо ви зробите все необхідне для посилення безпеки свого сайту, то зможете зберегти його на довгі роки вперед і не турбується про атаки хакерів.
Джерело: wplift.com
Коментарі до запису: 0