»  Безопасность  »  Взлом сайта  »  Как проверить Вордпресс сайт на безопасность

Как проверить Вордпресс сайт на безопасность

Последнее обновление:
Как найти уязвимости на Вордпресс сайте

По данным Wordfence в середине 2018 года около 90.000 Вордпресс сайтов атакуется каждую минуту. Internet Live Stats сообщает о 70 взломанных сайтов в минуту, это около 100.000 взломанных сайтов в день. Akismet фильтрует около 7,5 млн единиц спама в час. Эти цифры впечатляют. 

Проверка безопасности сайта поможет найти уязвимости и защитить от хакеров.

Проверьте или просканируйте сайт до того, как хакеры найдут уязвимости на вашем сайте.

Благодаря популярности Вордпресс существует большое количество онлайн сканеров и плагинов, с помощью которых вы можете проверить сайт на наличие уязвимостей или взлома.

В этой статье вы узнаете о нескольких популярных онлайн сканерах и плагинах, и о том, как вы можете автоматизировать этот процесс при помощи плагина Security Ninja Pro.

Интересен ли хакерам ваш сайт

Некоторые думают, что их сайт в безопасности, потому что он молодой, на нем нет трафика или личной информации, которую можно украсть.

Многие люди используют один и тот же логин и пароль для многих аккаунтов в интернете. Хакерам интересна не только личная информация подписчиков или посетителей сайта, которую они могут использовать для взлома их электронной почты, соцсетей или аккаунта в банке. Они также могут использовать ресурсы сервера или сам сайт для публикации на нем рекламы, спама или ссылок на свои ресурсы.

Даже если ваш сайт не содержит личной информации (кроме информации об администраторе сайта), хакеры могут использовать ваш сервер в качестве файлообменника или для перенаправления трафика через ваш сайт. Если ваш хостинг автоматически берет плату за переиспользование ресурсов или трафика, такой взлом может дорого стоить.

Кроме этого, когда хостинг обнаружит, что сайт взломан, он может его отключить, чтобы обезопасить другие сайты на сервере.

Если коротко, то хакерам просто нужен узел в сети и ресурсы этого узла.

Хакеры используют ботов для взлома сайтов

Для взлома хакеры используют ботов, или хакботов, которые обходят сотни тысяч сайтов в час и сканируют их на списки известных уязвимостей устаревшего ПО, которые описаны в интернете. Подбирают логины и пароли по спискам самых популярных логинов и паролей, которые находятся в интернете. Пытаются получить доступ к базе данных сайта по стандартной методике, которая тоже описана в интернете, и так далее.

Вордпресс — очень популярная платформа, в данный момент на Вордпрессе работает около 80 млн. сайтов. Учитывая производительность хакботов, вероятность найти какую-то уязвимость довольно высока. Согласно статистике, в середине 2018 года каждую секунду боты атаковали около 1.000 Вордпресс сайтов, и одна из таких атак заканчивалась взломом.

Хотя такая популярность привлекает хакеров, у этой популярности есть и обратная сторона. Во-первых, разработчики быстро реагируют на найденные уязвимости и так же быстро выпускают обновления безопасности. Во-вторых, большинство уязвимостей имеют стандартные решения.

Самые распространенные уязвимости Вордпресс

  • Устаревшая версия Вордпресс, тем, плагинов и другого ПО
  • Стандартный логин «admin», «administrator» имя домена и так далее
  • Слабые пароли
  • Использование стандартного префикса базы данных
  • Неверные права доступа к файлам
  • Включенный редактор тем и плагинов в админке Вордпресс
  • Небезопасный компьютер или хостинг

Это основные уязвимости Вордпресс, но есть и другие. В этой статье уязвимости разбиты на группы:

В этих статьях описаны решения для устранения уязвимостей в порядке применения:

WPWhiteSecurity провел исследование 42.000 сайтов из рейтинга Алексы Топ — 1.000.000, и выяснил, что 73,2% из них имеют устаревшую версию Вордпресс с известной уязвимостью, описание которой находится в открытом доступе. Это значит, что боты рано или поздно найдут эти сайты, и получат над ними тот или иной контроль.

Просканируйте ваш сайт, выясните, есть ли на вашем сайте уязвимости, и если есть — устраните их.

Проверка Вордпресс сайта на уязвимости онлайн

  • Unmask Parasites — проверяет, был ли сайт взломан и есть ли на сайте вредоносный код или спам.
  • WordPress Security Scan — проверяет основные уязвимости Вордпресс сайтов. Более глубокий анализ доступен по платной подписке.
  • Sucuri SiteCheck – проверяет сайт на наличие вредоносного софта, внесение сайта в черные списки (на данный момент 9 списков), ошибок и устаревшего ПО.
  • Scan My Server – сервис предоставляет детальный отчет об уязвимостях сайта и еженедельное сканирование на бесплатном тарифе. Для работы требуется бесплатная регистрация и размещение картинки с обратной ссылкой на сервис в футере сайта.
  • Norton Safe Web – сканер сайта от Norton, проверяет сайт на наличие вредоносного ПО.
  • Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение нескольких минут генерирует довольно детальный отчет.
  • VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
  • Acunetix — сканирует Вордпресс и не только Вордпресс сайты, нужна регистрация для 14-дневного бесплатного trial-периода.

С помощью этих сервисов вы можете найти, где именно на вашем сайте находится уязвимость.

Бесплатные сервисы или тарифы предлагают довольно общий обзор, если вы хотите более глубокий анализ, придется купить премиум доступ.

Сканирование сайта с помощью плагинов

Для более детального сканирования сайта, установите один из этих плагинов или по очереди, чтобы узнать, какая именно уязвимость находится на вашем сайте. Эти плагины регулярно обновляются и работают на одиночных установках Вордпресс, или на Мультисайт установке, если устанавливать их отдельно на каждый сайт сети.

Vulnerable Plugin Checker

Vulnerable Plugin Checker сканирует только файлы плагинов на уязвимости и другие проблемы безопасности. В плагине минимум настроек — вы указываете только свой е-мейл, на который дважды в день приходит отчет о найденных проблемах.

Total Security

Total Security наблюдает за появлением уязвимостей на сайте. Когда они появляются, плагин сообщает об этом, и вы можете их удалить. Плагин проверяет файлы Вордпресс и файлы тем / плагинов, и может изменить страницу авторизации на сайте (../wp-login.php).

Хотя у плагина нет функционала по устранению многих найденных уязвимостей, это очень хороший сканер сайта с детальным отчетом.

WPScan

Плагин ежедневно сканирует файлы сайта, чтобы найти уязвимости, которые занесены в список WPScan Vulnerability Database. В админ баре плагин показывает иконку с количеством найденных уязвимостей.

Посылает сообщение на е-мейл, когда находит новую уязвимость.

Эти плагины помогают найти уязвимость, если плагин уже был установлен на сайте. Если вы хотите проверить сайт на уязвимости сейчас, то попробуйте эти плагины:

NinjaScanner

Очень легкий плагин, который сканирует файлы сайта на наличие вредоносного кода и вирусов. Сканер сравнивает файлы сайта с оригинальными файлами в репозитарии Вордпресс, и делает еще несколько проверок.

Quttera Web Malware Scanner

Плагин сканирует сайт на вредоносное ПО, троянов, бэкдоров, червей, вирусов, вредоносные айфреймы, вредоносные инъекции, редиректы и другие виды угроз. Плагин проверяет, был ли сайт внесен в черные списки.

GOTMLS

Плагин сканирует сайт и автоматически удаляет известные вирусы, трояны, бэкдоры и внедрения в базу данных. Также плагин работает в качестве файрвола и блокирует всевозможное вредоносное ПО.

Для обновления базы данных плагина нужно бесплатно зарегистрироваться.

Эти плагины помогают найти проблему на сайте. Некоторые плагины предлагают устранить заражение, но не помогают устранить уязвимость, которая к нему привела.

Как исправить найденные уязвимости

После того, как вы просканировали сайт и нашли уязвимость, ее нужно устранить.

Автоматическое сканирование и защита вашего сайта

У бесплатного плагина Security Ninja есть подробный сканер, который показывает найденные уязвимости и инструкции по устранению каждой уязвимости. На данный момент 46 тестов. Пример:

Плагин Security Ninja. Проверка безопасности сайта

В бесплатной версии плагина вы можете только просканировать сайт на основные уязвимости Вордпресс. После этого плагин предложит рекомендации по ручному устранению найденных уязвимостей.

В платной версии добавляется функция автоматического исправления найденных уязвимостей (Auto Fixer), автоматическое сравнение файлов сайта с файлами в репозитарии Вордпресс, сканер файлов сайта на наличие вредоносного кода, логи событий и автоматический IP файрвол, который запрещает доступ к сайту с вредоносных IP адресов.

С помощью плагина Security Ninja Pro вы найдете и устраните все основные уязвимости Вордпресс и настроите хорошую защиту сайта.

Если вы хотите настроить мощную автоматическую защиту сайта, приглашаю вас на курс Безопасный Вордпресс за 2 вечера, в котором вы настроите безопасность сайта с помощью бесплатных плагинов и нескольких ручных настроек.

Читайте также:

  1. Что делать, если сайт взломали
  2. Как вылечить от вирусов Вордпресс сайт
  3. Как найти и удалить бэкдоры на Вордпресс сайте
  4. Как найти следы взлома в логах сервера
  5. Как удалить сайт из черных списков
  6. Как зайти в админку после взлома сайта

Надеюсь, статья была полезна. Оставляйте комментарии.

Комментарии:

  1. Отличная статья, спасибо. Добавлю, что можно совершенно бесплатно пользоваться сканером WPScan, запускать его придется у себя, но он использует все те же самые базы, которыми пользуются плагины.
    Регулярный мониторинг безопасности сайта — очень хорошее решение, особенно когда приходят письма если вдруг нашлась уязвимость (потому что каждую неделю забываешь заходить на сайт и тыкать кнопочки).
    Некоторые онлайн-сканеры не упомянули — metascan.ru, acunetix.com, detectify.com. Рекомендую!

    Ответить

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!