»  Безопасность  »  Как найти уязвимости на Вордпресс сайте

Как найти уязвимости на Вордпресс сайте

Последнее обновление:
Как найти уязвимости на Вордпресс сайте

По данным Wordfence в середине 2018 года около 90.000 Вордпресс сайтов атакуется каждую минуту. Internet Live Stats сообщает о 70 взломанных сайтов в минуту, это около 100.000 взломанных сайтов в день. Akismet фильтрует около 7,5 млн единиц спама в час. Эти цифры впечатляют. 

Проверка безопасности сайта на наличие уязвимостей поможет найти уязвимости и защитить от хакеров.

Сканирование сайта может помочь найти уязвимости, чтобы вы могли их устранить до того, как ими воспользуются хакеры.

Благодаря популярности Вордпресс существует большое количество онлайн сканеров и плагинов, с помощью которых вы можете проверить сайт на наличие уязвимостей или взлома.

В этой статье вы узнаете о нескольких популярных онлайн сканерах и плагинах, и о том, как вы можете автоматизировать этот процесс при помощи плагина Security Ninja Pro.

Интересен ли хакерам ваш сайт

Некоторые думают, что их сайт в безопасности, потому что он молодой, на нем нет трафика или личной информации, которую можно украсть.

Многие люди используют один и тот же логин и пароль для многих аккаунтов в интернете. Хакерам интересна не только личная информация подписчиков или посетителей сайта, которую они могут использовать для взлома их электронной почты, соцсетей или аккаунта в банке. Они также могут использовать ресурсы сервера или сам сайт для публикации на нем рекламы, спама или ссылок на свои ресурсы.

Даже если ваш сайт не содержит личной информации (кроме информации об администраторе сайта), хакеры могут использовать ваш сервер в качестве файлообменника или для перенаправления трафика через ваш сайт. Если ваш хостинг автоматически берет плату за переиспользование ресурсов или трафика, такой взлом может дорого стоить.

Кроме этого, когда хостинг обнаружит, что сайт взломан, он может его отключить, чтобы обезопасить другие сайты на сервере.

Если коротко, то хакерам просто нужен узел в сети и ресурсы этого узла.

Хакеры используют ботов для взлома сайтов

Для взлома хакеры используют ботов, или хакботов, которые обходят сотни тысяч сайтов в час и сканируют их на списки известных уязвимостей устаревшего ПО, которые описаны в интернете. Подбирают логины и пароли по спискам самых популярных логинов и паролей, которые находятся в интернете. Пытаются получить доступ к базе данных сайта по стандартной методике, которая тоже описана в интернете, и так далее.

Вордпресс — очень популярная платформа, в данный момент на Вордпрессе работает около 80 млн. сайтов. Учитывая производительность хакботов, вероятность найти какую-то уязвимость довольно высока. Согласно статистике, в середине 2018 года каждую секунду боты атаковали около 1.000 Вордпресс сайтов, и одна из таких атак заканчивалась взломом.

Хотя такая популярность привлекает хакеров, у этой популярности есть и обратная сторона. Во-первых, разработчики быстро реагируют на найденные уязвимости и так же быстро выпускают обновления безопасности. Во-вторых, большинство уязвимостей имеют стандартные решения.

Самые распространенные уязвимости Вордпресс

  • Устаревшая версия Вордпресс, тем, плагинов и другого ПО
  • Стандартный логин «admin», «administrator» имя домена и так далее
  • Слабые пароли
  • Использование стандартного префикса базы данных
  • Неверные права доступа к файлам
  • Включенный редактор тем и плагинов в админке Вордпресс
  • Небезопасный компьютер или хостинг

Это основные уязвимости Вордпресс, но есть и другие. В этой статье уязвимости разбиты на группы:

В этих статьях описаны решения для устранения уязвимостей в порядке применения:

WPWhiteSecurity провел исследование 42.000 сайтов из рейтинга Алексы Топ — 1.000.000, и выяснил, что 73,2% из них имеют устаревшую версию Вордпресс с известной уязвимостью, описание которой находится в открытом доступе. Это значит, что боты рано или поздно найдут эти сайты, и получат над ними тот или иной контроль.

Просканируйте ваш сайт, выясните, есть ли на вашем сайте уязвимости, и если есть — устраните их.

Как проверить Вордпресс сайт на уязвимости

  • Unmask Parasites — проверяет, был ли сайт взломан и есть ли на сайте вредоносный код или спам.
  • WordPress Security Scan — проверяет основные уязвимости Вордпресс сайтов. Более глубокий анализ доступен по платной подписке.
  • Sucuri SiteCheck – проверяет сайт на наличие вредоносного софта, внесение сайта в черные списки (на данный момент 9 списков), ошибок и устаревшего ПО.
  • Scan My Server – сервис предоставляет детальный отчет об уязвимостях сайта и еженедельное сканирование на бесплатном тарифе. Для работы требуется бесплатная регистрация и размещение картинки с обратной ссылкой на сервис в футере сайта.
  • Norton Safe Web – сканер сайта от Norton, проверяет сайт на наличие вредоносного ПО.
  • Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение нескольких минут генерирует довольно детальный отчет.
  • VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
  • Acunetix — сканирует Вордпресс и не только Вордпресс сайты, нужна регистрация для 14-дневного бесплатного trial-периода.

С помощью этих сервисов вы можете найти, где именно на вашем сайте находится уязвимость.

Бесплатные сервисы или тарифы предлагают довольно общий обзор, если вы хотите более глубокий анализ, придется купить премиум доступ.

Сканирование сайта с помощью плагинов

Для более детального сканирования сайта, установите один из этих плагинов или по очереди, чтобы узнать, какая именно уязвимость находится на вашем сайте. Эти плагины регулярно обновляются и работают на одиночных установках Вордпресс, или на Мультисайт установке, если устанавливать их отдельно на каждый сайт сети.

Vulnerable Plugin Checker

Vulnerable Plugin Checker сканирует только файлы плагинов на уязвимости и другие проблемы безопасности. В плагине минимум настроек — вы указываете только свой е-мейл, на который дважды в день приходит отчет о найденных проблемах.

Total Security

Total Security наблюдает за появлением уязвимостей на сайте. Когда они появляются, плагин сообщает об этом, и вы можете их удалить. Плагин проверяет файлы Вордпресс и файлы тем / плагинов, и может изменить страницу авторизации на сайте (../wp-login.php).

Хотя у плагина нет функционала по устранению многих найденных уязвимостей, это очень хороший сканер сайта с детальным отчетом.

WPScan

Плагин ежедневно сканирует файлы сайта, чтобы найти уязвимости, которые занесены в список WPScan Vulnerability Database. В админ баре плагин показывает иконку с количеством найденных уязвимостей.

Посылает сообщение на е-мейл, когда находит новую уязвимость.

Эти плагины помогают найти уязвимость, если плагин уже был установлен на сайте. Если вы хотите проверить сайт на уязвимости сейчас, то попробуйте эти плагины:

NinjaScanner

Очень легкий плагин, который сканирует файлы сайта на наличие вредоносного кода и вирусов. Сканер сравнивает файлы сайта с оригинальными файлами в репозитарии Вордпресс, и делает еще несколько проверок.

Quttera Web Malware Scanner

Плагин сканирует сайт на вредоносное ПО, троянов, бэкдоров, червей, вирусов, вредоносные айфреймы, вредоносные инъекции, редиректы и другие виды угроз. Плагин проверяет, был ли сайт внесен в черные списки.

GOTMLS

Плагин сканирует сайт и автоматически удаляет известные вирусы, трояны, бэкдоры и внедрения в базу данных. Также плагин работает в качестве файрвола и блокирует всевозможное вредоносное ПО.

Для пополнения базы данных плагина нужно бесплатно зарегистрироваться.

Эти плагины помогают найти проблему на сайте. Некоторые плагины предлагают устранить заражение, но не помогают устранить уязвимость, которая к нему привела.

Как исправить найденные уязвимости

После того, как вы просканировали сайт и нашли уязвимость, ее нужно устранить.

Автоматическое сканирование и защита вашего сайта

Сканирование сайта лучше делать по расписанию с заданным интервалом, чтобы не пропустить появление взлома и вовремя на него отреагировать.

У бесплатного плагина Security Ninja есть подробный сканер, который показывает найденные уязвимости. На данный момент 46 тестов. Пример:

Плагин Security Ninja. Проверка безопасности сайта

В платной версии добавляются функции автоматического исправления найденных уязвимостей (Auto Fixer), автоматическое сканирование файлов сайта на предмет их изменения, логи событий, оптимизация базы данных и облачный файрвол.

Версия Security Ninja Pro стоит 39$ с годовой лицензией и 89$ с life-time лицензией.

Сканер ядра Вордпресс

Плагин сканирует файлы Вордпресс с заданной периодичностью и сравнивает их с оригинальными файлами в репозитарии Вордпресс.

Сканер ядра Вордпресс, Security Ninja Pro

Плагин просканировал 1293 файла, 1291 файл без изменений, 2 файла — readme.html и wp-config-sample.php — отсутствуют.

Сканер файлов сайта

Сканирует файлы сайта с заданной периодичностью, используя метод эвристического анализа, который сравнивает содержание файлов с часто используемыми хакерами функциями и паттернами кода.

Сканирование файлов Вордпресс, Security Ninja Pro
Эти файлы содержат участки кода, которые соответствуют правилам срабатывания. Это не значит, что файлы обязательно заражены, часто разработчики софта используют те же функции; это значит, что эти файлы нужно более внимательно изучить.

Логи событий

Плагин ведет логи событий — кто заходил на сайт, кому было отказано в доступе, какой IP заблокирован, события сайта и так далее.

Журнал событий, Security Ninja Pro
Журнал событий Security Ninja Pro

Сканер сайта по расписанию

Сканирует файлы сайта по расписанию — только файлы ядра Вордпресс, только эвристический анализ файлов, или оба. Выберите частоту сканирования и настройте оповещение по е-мейл, если надо.

Автоматическое сканирование сайта, Security Ninja Pro
Выберите тип сканирования, частоту сканирования и оповещение на е-мейл

Очистка и оптимизация базы данных

Плагин оптимизирует базу данных, удаляет ревизии постов, удаляет спам и комментарии в Корзине и другой мусор из базы данных.

Как найти уязвимости на Вордпресс сайте
Очистка и оптимизация базы данных

В версии 5.38 очистку и оптимизацию базы данных можно делать только вручную, для этого нажмите кнопку Run All Optimizations в правом верхнем углу. Возможно, в будущих версиях Security Ninja Pro появится автоматическая очистка по расписанию. Сейчас для автоматической очистки вы можете использовать плагин Advanced Database Cleaner.

Облачный файрвол

Облачный файрвол — база вредоносных IP адресов, которая обновляется каждые 6 часов. В данный момент содержит 633 млн. адресов, распространяющих вредоносный софт, совершающих брут-форс атаки на сайты и занимающихся другими хакерскими делами.

Облачный файрвол SecurityNinja Pro

Переключатель в положении ON означает, что посетители с забаненных адресов не получат доступ к сайту. В положении OFF — смогут просматривать сайт, но не получат доступ к авторизации на сайте.

Security Ninja Pro - Облачный файрвол
Настройте ограничение попыток доступа, белый список IP и секретный адрес для входа на сайт, если ваш IP попадет в бан

Security Ninja Pro — мощный инструмент для анализа состояния безопасности сайта, исправления найденных уязвимостей и поддержания безопасности сайта на шаг впереди хакеров благодаря использованию базы вредоносных IP.

1 Сайт

Годовая лицензия
$ 29 1 год обновлений
  • Сканер сайта
  • Защита сайта
  • Техподдержка

1 Сайт

Life-time лицензия
$ 89 Life-time лицензия
  • Сканер сайта
  • Защита сайта
  • Техподдержка

10 Сайтов

Годовая лицензия
$ 99 1 год обновлений
  • Сканер сайта
  • Защита сайта
  • Техподдержка

Читайте также:

  1. Что делать, если сайт взломали
  2. Как вылечить от вирусов Вордпресс сайт
  3. Как найти и удалить бэкдоры на Вордпресс сайте
  4. Как найти следы взлома в логах сервера
  5. Как удалить сайт из черных списков
  6. Как зайти в Консоль Вордпресс после взлома сайта
  7. Минимальная безопасность Вордпресс
  8. Безопасность Вордпресс. Подробое описание

Надеюсь, статья была полезна. Оставляйте комментарии.

Комментарии:

  1. Отличная статья, спасибо. Добавлю, что можно совершенно бесплатно пользоваться сканером WPScan, запускать его придется у себя, но он использует все те же самые базы, которыми пользуются плагины.
    Регулярный мониторинг безопасности сайта — очень хорошее решение, особенно когда приходят письма если вдруг нашлась уязвимость (потому что каждую неделю забываешь заходить на сайт и тыкать кнопочки).
    Некоторые онлайн-сканеры не упомянули — metascan.ru, acunetix.com, detectify.com. Рекомендую!

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!