Techbear
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.
По данным Wordfence в середине 2018 года около 90.000 Вордпресс сайтов атакуется каждую минуту. Internet Live Stats сообщает о 70 взломанных сайтов в минуту, это около 100.000 взломанных сайтов в день. Akismet фильтрует около 7,5 млн единиц спама в час. Эти цифры впечатляют.
Проверка безопасности сайта поможет найти уязвимости и защитить от хакеров.
Проверьте или просканируйте сайт до того, как хакеры найдут уязвимости на вашем сайте.
Благодаря популярности Вордпресс существует большое количество онлайн сканеров и плагинов, с помощью которых вы можете проверить сайт на наличие уязвимостей или взлома.
В этой статье вы узнаете о нескольких популярных онлайн сканерах и плагинах, и о том, как вы можете автоматизировать этот процесс при помощи плагина Security Ninja Pro.
Если вы думаете, что ваш сайт в безопасности, потому что он молодой, на нем нет трафика или личной информации, которую можно украсть, то это не так.
Многие люди используют один и тот же логин и пароль для многих аккаунтов в интернете. Хакерам интересна не только личная информация подписчиков или посетителей сайта, которую они могут использовать для взлома их электронной почты, соцсетей или аккаунта в банке. Они также могут использовать ресурсы сервера или сам сайт для публикации на нем рекламы, спама или ссылок на свои ресурсы.
Даже если ваш сайт не содержит личной информации (кроме информации об администраторе сайта), хакеры могут использовать ваш сервер в качестве файлообменника или для перенаправления трафика через ваш сайт. Если ваш хостинг автоматически берет плату за переиспользование ресурсов или трафика, такой взлом может дорого стоить.
Кроме этого, когда хостинг обнаружит, что сайт взломан, он может его отключить, чтобы обезопасить другие сайты на сервере.
Если кратко, то хакерам просто нужен узел в сети и ресурсы этого узла.
Для взлома хакеры используют ботов, или хакботов, которые обходят сотни тысяч сайтов в час и сканируют их на списки известных уязвимостей устаревшего ПО, которые описаны в интернете. Подбирают логины и пароли по спискам самых популярных логинов и паролей, которые находятся в интернете. Пытаются получить доступ к базе данных сайта по стандартной методике, которая тоже описана в интернете, и так далее.
Вордпресс — очень популярная платформа, в данный момент на Вордпрессе работает около 43% всех сайтов в Интернете. Учитывая производительность хакботов, вероятность найти какую-то уязвимость довольно высока.
Согласно статистике, в середине 2018 года каждую секунду боты атаковали около 1.000 Вордпресс сайтов, и одна из таких атак заканчивалась взломом.
Хотя такая популярность привлекает хакеров, у этой популярности есть и обратная сторона. Во-первых, разработчики быстро реагируют на найденные уязвимости и так же быстро выпускают обновления безопасности. Во-вторых, большинство уязвимостей имеют стандартные решения.
Это основные уязвимости Вордпресс, но есть и другие.
В этих статьях описаны решения для устранения уязвимостей в порядке применения:
В этой статье решения по устранению уязвимостей разбиты на группы:
WPWhiteSecurity провел исследование 42.000 сайтов из рейтинга Алексы Топ — 1.000.000, и выяснил, что 73,2% из них имеют устаревшую версию Вордпресс с известной уязвимостью, описание которой находится в открытом доступе. Это значит, что боты рано или поздно найдут эти сайты, и получат над ними тот или иной контроль.
Просканируйте ваш сайт, выясните, есть ли на вашем сайте уязвимости, и если есть — устраните их.
Реклама
Простой способ выгодно купить полис
С помощью этих сервисов вы можете найти, где именно на вашем сайте находится уязвимость.
Для более детального сканирования сайта, установите один из этих плагинов или по очереди, чтобы узнать, какая именно уязвимость находится на вашем сайте. Эти плагины регулярно обновляются и работают на одиночных установках Вордпресс, или на Мультисайт установке, если устанавливать их отдельно на каждый сайт сети.
Vulnerable Plugin Checker сканирует только файлы плагинов на уязвимости и другие проблемы безопасности. В плагине минимум настроек — вы указываете только свой е-мейл, на который дважды в день приходит отчет о найденных проблемах.
Плагин ежедневно сканирует файлы сайта, чтобы найти уязвимости, которые занесены в список WPScan Vulnerability Database. В админ баре плагин показывает иконку с количеством найденных уязвимостей.
Посылает сообщение на е-мейл, когда находит новую уязвимость.
Эти плагины помогают найти уязвимость, если они уже были установлены на сайте.
Если вы хотите проверить сайт на заражение, то попробуйте эти плагины:
Очень легкий плагин, который сканирует файлы сайта на наличие вредоносного кода и вирусов. Сканер сравнивает файлы сайта с оригинальными файлами в репозитарии Вордпресс, и делает еще несколько проверок.
Плагин сканирует сайт на вредоносное ПО, троянов, бэкдоров, червей, вирусов, вредоносные айфреймы, вредоносные инъекции, редиректы и другие виды угроз. Плагин проверяет, был ли сайт внесен в черные списки.
Плагин сканирует сайт и автоматически удаляет известные вирусы, трояны, бэкдоры и внедрения в базу данных. Также плагин работает в качестве файрвола и блокирует всевозможное вредоносное ПО.
Для обновления базы данных плагина нужно бесплатно зарегистрироваться.
Эти плагины помогают найти проблему на сайте. Некоторые плагины предлагают устранить заражение, но не помогают устранить уязвимость, которая к нему привела.
После того, как вы просканировали сайт и нашли уязвимость, ее нужно устранить.
У бесплатного плагина Security Ninja есть подробный сканер, который показывает найденные уязвимости и инструкции по устранению каждой уязвимости. На данный момент 46 тестов. Пример:
В бесплатной версии плагина вы можете только просканировать сайт на основные уязвимости Вордпресс. После этого плагин предложит рекомендации по ручному устранению найденных уязвимостей.
В платной версии добавляется функция автоматического исправления найденных уязвимостей (Auto Fixer), автоматическое сравнение файлов сайта с файлами в репозитарии Вордпресс, сканер файлов сайта на наличие вредоносного кода, логи событий и автоматический IP файрвол, который запрещает доступ к сайту с вредоносных IP адресов.
С помощью плагина Security Ninja Pro вы найдете и устраните все основные уязвимости Вордпресс и настроите хорошую защиту сайта.
Если вы хотите настроить мощную автоматическую защиту сайта, приглашаю вас на курс Безопасный Вордпресс за 2 вечера. В этом курсе вы настроите безопасность сайта с помощью бесплатных плагинов и нескольких ручных настроек.
Читайте также:
Надеюсь, статья была полезна. Оставляйте комментарии.
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.
Отличная статья, спасибо. Добавлю, что можно совершенно бесплатно пользоваться сканером WPScan, запускать его придется у себя, но он использует все те же самые базы, которыми пользуются плагины.
Регулярный мониторинг безопасности сайта — очень хорошее решение, особенно когда приходят письма если вдруг нашлась уязвимость (потому что каждую неделю забываешь заходить на сайт и тыкать кнопочки).
Некоторые онлайн-сканеры не упомянули — metascan.ru, acunetix.com, detectify.com. Рекомендую!
Спасибо за дополнения