Как проверить Вордпресс сайт на безопасность

Как найти уязвимости на Вордпресс сайте

По данным Wordfence в середине 2018 года около 90.000 Вордпресс сайтов атакуется каждую минуту. Internet Live Stats сообщает о 70 взломанных сайтов в минуту, это около 100.000 взломанных сайтов в день. Akismet фильтрует около 7,5 млн единиц спама в час. Эти цифры впечатляют. 

Проверка безопасности сайта поможет найти уязвимости и защитить от хакеров.

Проверьте или просканируйте сайт до того, как хакеры найдут уязвимости на вашем сайте.

Благодаря популярности Вордпресс существует большое количество онлайн сканеров и плагинов, с помощью которых вы можете проверить сайт на наличие уязвимостей или взлома.

В этой статье вы узнаете о нескольких популярных онлайн сканерах и плагинах, и о том, как вы можете автоматизировать этот процесс при помощи плагина Security Ninja Pro.

Интересен ли хакерам ваш сайт

Если вы думаете, что ваш сайт в безопасности, потому что он молодой, на нем нет трафика или личной информации, которую можно украсть, то это не так.

Многие люди используют один и тот же логин и пароль для многих аккаунтов в интернете. Хакерам интересна не только личная информация подписчиков или посетителей сайта, которую они могут использовать для взлома их электронной почты, соцсетей или аккаунта в банке. Они также могут использовать ресурсы сервера или сам сайт для публикации на нем рекламы, спама или ссылок на свои ресурсы.

Даже если ваш сайт не содержит личной информации (кроме информации об администраторе сайта), хакеры могут использовать ваш сервер в качестве файлообменника или для перенаправления трафика через ваш сайт. Если ваш хостинг автоматически берет плату за переиспользование ресурсов или трафика, такой взлом может дорого стоить.

Кроме этого, когда хостинг обнаружит, что сайт взломан, он может его отключить, чтобы обезопасить другие сайты на сервере.

Если кратко, то хакерам просто нужен узел в сети и ресурсы этого узла.

Хакеры используют ботов для взлома сайтов

Для взлома хакеры используют ботов, или хакботов, которые обходят сотни тысяч сайтов в час и сканируют их на списки известных уязвимостей устаревшего ПО, которые описаны в интернете. Подбирают логины и пароли по спискам самых популярных логинов и паролей, которые находятся в интернете. Пытаются получить доступ к базе данных сайта по стандартной методике, которая тоже описана в интернете, и так далее.

Вордпресс — очень популярная платформа, в данный момент на Вордпрессе работает около 43% всех сайтов в Интернете. Учитывая производительность хакботов, вероятность найти какую-то уязвимость довольно высока.

Реклама

Согласно статистике, в середине 2018 года каждую секунду боты атаковали около 1.000 Вордпресс сайтов, и одна из таких атак заканчивалась взломом.

Хотя такая популярность привлекает хакеров, у этой популярности есть и обратная сторона. Во-первых, разработчики быстро реагируют на найденные уязвимости и быстро выпускают обновления безопасности. Во-вторых, большинство уязвимостей имеют стандартные решения.

Самые распространенные уязвимости Вордпресс

  • Устаревшая версия Вордпресс, тем, плагинов и другого ПО
  • Стандартный логин «admin», «administrator» имя домена и так далее
  • Слабые пароли
  • Неверные права доступа к файлам
  • Включенный редактор тем и плагинов в админке Вордпресс
  • Небезопасный компьютер или хостинг

Это основные уязвимости Вордпресс, но есть и другие.

В этих статьях описаны решения для устранения уязвимостей в порядке приоритетности:

В этой статье решения по устранению уязвимостей разбиты на группы:

WPWhiteSecurity провел исследование 42.000 сайтов из рейтинга Алексы Топ — 1.000.000, и выяснил, что 73,2% из них имеют устаревшую версию Вордпресс с известной уязвимостью, описание которой находится в открытом доступе. Это значит, что боты рано или поздно найдут эти сайты, и получат над ними тот или иной контроль.

Просканируйте ваш сайт, выясните, есть ли на вашем сайте уязвимости, и если есть — устраните их.

Проверка Вордпресс сайта на заражения онлайн

  • Google Transparency Report — проверка сайта в базе Google. Первый шаг, чтобы определить, был ли сайт взломан.
  • Unmask Parasites и Sucuri Site Check — два сервиса от Sucuri для поиска заражений на сайте. Показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков.
  • Norton Safe Web – сканер сайта от Norton.
  • Quttera – сканирует сайт на наличие вредоносного ПО.
  • 2ip — проверяет на вирусы и включение в черные списки Яндекса и Гугла.
  • VirusTotal – хороший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
  • Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение пары минут генерирует довольно детальный отчет.
  • Malware Removal – Проверяет сайт на наличие скрытых вредоносных программ и вирусов (невидимые спам-ссылки, вредоносные программы, вводимые IFRAME, вредоносные сценарии и перенаправления на сторонние веб-сайты).
  • WebSicherheit – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
  • Pentest-Tools — еще один хороший сервис для проверки сайта на наличие заражения. В бесплатной версии доступен общий анализ сайта.
  • WordPress Security Scan — проверяет основные уязвимости Вордпресс сайтов. Более глубокий анализ доступен по платной подписке.

С помощью этих сервисов вы можете найти, где именно на вашем сайте находится уязвимость.

Реклама

Сканирование сайта с помощью плагинов

Для более детального сканирования сайта, установите один из этих плагинов или по очереди, чтобы узнать, какая именно уязвимость находится на вашем сайте. Эти плагины регулярно обновляются и работают на одиночных установках Вордпресс, или на Мультисайт установке, если устанавливать их отдельно на каждый сайт сети.

Vulnerable Plugin Checker

Vulnerable Plugin Checker сканирует только файлы плагинов на уязвимости и другие проблемы безопасности. В плагине минимум настроек — вы указываете только свой е-мейл, на который дважды в день приходит отчет о найденных проблемах.

WPScan

Плагин ежедневно сканирует файлы сайта, чтобы найти уязвимости, которые занесены в список WPScan Vulnerability Database. В админ баре плагин показывает иконку с количеством найденных уязвимостей.

Посылает сообщение на е-мейл, когда находит новую уязвимость.


Эти плагины помогают найти уязвимость, если они уже были установлены на сайте.

Если вы хотите проверить сайт на заражение, то попробуйте эти плагины:

NinjaScanner

Очень легкий плагин, который сканирует файлы сайта на наличие вредоносного кода и вирусов. Сканер сравнивает файлы сайта с оригинальными файлами в репозитарии Вордпресс, и делает еще несколько проверок.

Quttera Web Malware Scanner

Плагин сканирует сайт на вредоносное ПО, троянов, бэкдоров, червей, вирусов, вредоносные айфреймы, вредоносные инъекции, редиректы и другие виды угроз. Плагин проверяет, был ли сайт внесен в черные списки.

GOTMLS

Плагин сканирует сайт и автоматически удаляет известные вирусы, трояны, бэкдоры и внедрения в базу данных. Также плагин работает в качестве файрвола и блокирует всевозможное вредоносное ПО.

Для обновления базы данных плагина нужно бесплатно зарегистрироваться.

Эти плагины помогают найти проблему на сайте. Некоторые плагины предлагают устранить заражение, но не помогают устранить уязвимость, которая к нему привела.

Реклама

Дебетовая карта Тинькофф Драйв

Кешбэк за покупки на АЗС — 10%
Кешбэк за автоуслуги — 5%
За другие покупки — 1%
Промо материал: Тинькофф Драйв

Как исправить найденные уязвимости

После того, как вы просканировали сайт и нашли уязвимость, ее нужно устранить.

Автоматическое сканирование и защита вашего сайта

У бесплатного плагина Security Ninja есть подробный сканер, который показывает найденные уязвимости и инструкции по устранению каждой уязвимости. На данный момент 46 тестов. Пример:

Плагин Security Ninja. Проверка безопасности сайта

В бесплатной версии плагина вы можете только просканировать сайт на основные уязвимости Вордпресс. После этого плагин предложит рекомендации по ручному устранению найденных уязвимостей.

В платной версии добавляется функция автоматического исправления найденных уязвимостей (Auto Fixer), автоматическое сравнение файлов сайта с файлами в репозитарии Вордпресс, сканер файлов сайта на наличие вредоносного кода, логи событий и автоматический IP файрвол, который запрещает доступ к сайту с вредоносных IP адресов.

С помощью плагина Security Ninja Pro вы найдете и устраните все основные уязвимости Вордпресс и настроите хорошую защиту сайта.

У меня есть лайф-тайм лицензия Security Ninja Pro, обращайтесь если интересно.

Также обращайтесь, если не хотите заниматься настройкой самостоятельно. Я могу настроить безопасность на вашем сайте.

Или приходите на курс Безопасный Вордпресс за 2 вечера, если хотите во всем разобраться.

Читайте также:

  1. Что делать, если сайт взломали
  2. Как вылечить от вирусов Вордпресс сайт
  3. Как найти и удалить бэкдоры на Вордпресс сайте
  4. Как найти следы взлома в логах сервера
  5. Как удалить сайт из черных списков
  6. Как зайти в админку после взлома сайта

Надеюсь, статья была полезна. Оставляйте комментарии.

комментария 2

  1. Отличная статья, спасибо. Добавлю, что можно совершенно бесплатно пользоваться сканером WPScan, запускать его придется у себя, но он использует все те же самые базы, которыми пользуются плагины.
    Регулярный мониторинг безопасности сайта — очень хорошее решение, особенно когда приходят письма если вдруг нашлась уязвимость (потому что каждую неделю забываешь заходить на сайт и тыкать кнопочки).
    Некоторые онлайн-сканеры не упомянули — metascan.ru, acunetix.com, detectify.com. Рекомендую!

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Techbear

Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.

WordPress   WooCommerce   Membership   Elementor   ACF

Обновления блога

Subsription - Gray Footer
Techbear