Первый сетевой вирус Creeper появился в начале 70-х в военной компьютерной сети Arpanet3. По другим данным – в сети Telenet, коммерческом аналоге Arpanet, прототипе Интернет.
Как бы там ни было, вирусы, черви, вредоносные коды и программы – явление почти такое же старое, как компьютеры и интернет. Они мигрировали из закрытых сетей в открытые, постоянно улучшались, дорабатывались и в конечном итоге приобрели характер одного из очень распространенных явлений в сфере IT.
Если раньше можно было не только представить, но и увидеть по-настоящему случайное появление вредоносной программы, то сегодня это стало почти невозможным. Сегодня вся описанная выше «мерзость» в интернете имеет злой умысел ее создателя. «Неслучайность» появления подобных угроз, обычно делает их серьезным испытанием для любого ресурса в интернете – от сельского блога, до сайта крупной компании, поэтому давайте поговорим сегодня о том, как обезопасить свой сайт на WordPress от взлома, фишинга (да-да, вы, как владелец веб-сайта тоже можете влиять на безопасность ваших клиентов) спама и Ddos, как наиболее распространенных атак в сети.
Общее
WordPress – одна из самых популярных CMS в мире. Мы уже упоминали во многих прошлых статьях, что им пользуются более трети всех сайтов в мире. При этом бытует мнение, что Вордпрес слабо защищен и быстро сдается перед хакерским атаками. Это мнение совершенное ошибочно. Эта CMS имеет открытый исходный код (о том что это такое можно прочитать здесь) и многие разработчики могут улучшать любые ошибки и прорехи в его защите, что и происходит на практике. Кроме того, существуют десятки «внутренних» и «внешних» решений для защиты сайта на WordPress, которые вы можете установить самостоятельно.
Если вы правильно используете WordPress, вам не стоит беспокоиться о каких-либо проблемах с безопасностью.
Взлом сайта
Что я подразумеваю под взломом сайта: подбор пароля и успешный несанкционированный вход в админ панель. Сам WordPress не защищает вас от программ или людей (реже), которые подбирают, или пытаются подобрать пароль для входа на ваш сайт: у вас нет по умолчанию не только двухфакторной аутентификации, но и даже капчи и блокировки входа при многократном вводе неправильного пароля.
Когда возникают проблемы
- когда вы оставляете один из паролей по умолчанию (12345, qwerty и тд.);
- когда вы редко меняете пароль, при этом доступ к нему постоянно передается от разработчика к разработчику;
- когда доступ к вашей электронной почте, привязанной к системе, был потерян в результате взлома почты;
- когда вы не устанавливаете блокировку входа в систему.
Как решить
- установить один из бесплатных плагинов для блокировки входа в админ панель WordPress;
- установить один из бесплатных плагинов для смены адреса входа (с адреса по умолчанию /wp-admin, или /admin на любой другой).
Ниже в статье я прикладываю ссылку на плагин, в котором вы можете комплексно настроить защиту вашего сайта на WordPress (в том числе блокировку входа и смену адреса входа), а также видео о том как правильно работать с ним.
Фишинг
Это распространённое в интернете явление в двух словах можно описать так: фишинг – это когда сайт мошенника мимикрирует под оригинальный (официальный сайт), с целью обманным путем получить доступ к контактным данным пользователя, и/ или его банковской карте.
Пример: вместо avito.ru, мошенники могут использовать домен aviitoo.ru, или avito.media (домен aviitoo.ru и avito.media используются в тексте в качестве примера, мне не известно используются эти домены администрацией avito.ru, или кем-то еще, в том числе, с целью обмана пользователей). Это может быть актуально для страниц оплаты на авито – после регистрации такого (подобного) домена, мошенники создают похожую страницу оплаты и пытаются таким примитивным, но к сожалению весьма действенным, методом выудить платежные данные клиента (фишинг – рыбалка).
Не все и не всегда замечают незначительные отличия в URL.
В чем проблема: для большинства крупных сайтов, на подобии упомянутого авито, ее нет. Однако, если речь идет о не самых известных, но все же больших сайтах и магазинах, проблема фишинга может стоять достаточно остро и снижать общее доверие пользователей. Негативные воспоминания пользователей от взаимодействия с «вашим» сайтом могут отвернуть их от дальнейших попыток купить или заказать у вас что-то.
Когда возникают проблемы
- прежде всего, когда ваш домен может быть легко подделан (если он слишком длинный, или слишком сложный);
- когда вы еще не имеете достаточного авторитета у поисковых систем и «конкурируете» с вашими фейками в выдаче;
- когда ваш ресурс не выглядит качественным и легко может быть подделан.
Как решить
- самым простым, и одновременно очень затратным, способом борьбы с фишингом будет покупка всех похожих доменов;
- мониторить поисковую выдачу на предмет появления мошенников и оперативно подавать на них жалобы;
- информировать клиентов о наличии угрозы (не рекомендуется, если только вы не получали массовых обращений от клиентов по поводу мошенников);
- регулярно визуально обновлять свой ресурс (речь не идет о редизайне, скорее о небольших, но заметных правках).
Спам
Здесь я не буду затрагивать какие-либо другие стороны этого явления кроме двух основных:
- спам в комментариях: решить эту проблему можно либо закрыв комментарии полностью, либо выбрав в настройках комментариев их отправку на модерацию перед публикацией. Если у вас высокая посещаемость и вы хотите оставить пользователям возможность комментировать контент на сайте, перебирать комментарии в ручную будет сложно – здесь лучшим выходом будет установить капчу в комментариях.
- спам на электронную почту сайта: он может быть как безобидным – в виде рекламных рассылок типа «ваш сайт работает не на 100%, можем помочь вам по SEO», так и очень неприятным, например, если недобросовестный конкурент захочет чтобы вы потеряли реальные заказы в куче спам-мусора и закажет спам рассылку на адрес (адреса) вашей компании. Бороться с этим можно:
- во-первых, лучше не хранить адреса электронной почты на сайте в принципе (ограничьтесь контактной формой и защитите ее капчей), но если есть в этом есть необходимость, то хотя бы маскировать их – прятать в картинках, ссылках и кнопках.
- во-вторых, установить на сайт плагин защиты от ботов Google Captcha V3, вот ссылка:
Advanced noCaptcha & invisible Captcha (v2 & v3)
Кстати, капча не обязательно должна быть скучной. Например, вот ссылка на капчу, что бы пройти которую, нужно решить математический пример (Например, «что бы подтвердить что вы не робот, пожалуйста решите следующий пример : 34-5= _ »):
WP Advanced Math Captcha
Управление сложностью примеров, а так же ограничение в использовании сложения, деления, умножения, или вычитания присутствуют в этом плагине. Это отличная альтернатива раздражающим размытым и перечеркнутым буквам (зачастую абсолютно не читаемым), или порядком приевшемуся выбору гидрантов и лестниц на картинках 😩.
Но есть и недостатки у этого плана: Гугл капчу v3 можно настроить на работу в автоматическом режиме и по умолчанию скрыть саму капчу для реальных пользователей, у математической капчи нет возможности работать в фоновом режиме.
Ddos
Тут придется объяснить подробнее.
Согласно Википедии, DoS («отказ в обслуживании») — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых пользователи системы не смогут получить доступ к предоставляемым системным ресурсам, либо этот доступ будет затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой. Но чаще это мера экономического давления: счета от провайдера и меры по уходу от атаки ощутимо бьют по карману «цели». В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую плохо написанную систему, не оставляя юридически значимых улик.
Если объяснить процитированное определение простыми словами: DoS и DDoS-атаки – это, созданные искусственно, множественные автоматические подключения к вашему сайту, которые либо тормозят его, либо полностью выводят из строя на период атаки.
DoS и DDoS-атаки – не такое уж и дорогое «удовольствие», а учитывая открывающиеся «плюсы» для заказчика, оно почти ничего не стоит. Для жертвы же, решение возникших проблем может повлечь существенные финансовые и репутационные потери. К счастью, решение есть и лучше всего позаботится о нем заблаговременно, пока ваши недобросовестные конкуренты не дошли до заказа DoS и DDoS-атак на ваш сайт.
Решение
Если ваш сайт «лежит на хостинге», первую очередь попробуйте обратится в поддержку. Например, хостинг Timeweb, которым пользуясь я, предоставляет защиту от DDoS атак в качестве дополнительной услуги. Если у вас нет такого простого решения, можно воспользоваться сервисом Cloudflare:
- Cloudflare – вот ссылка на статью из Википедии об этом сервисе;
- Cloudflare – вот ссылка на официальный сайт.
Если рассмотренные выше решения для вас кажутся дорогими, то вот каких правил следует придерживаться:
- Своевременно обновляйте ПО;
- Разработайте план действий при обновлении программного обеспечения;
- Не забывайте про ограничение доступа;
- Интерфейс админа должен быть доступен только из внутренней сети или через VPN;
- Если ваш бюджет не предусматривает оплаты аппаратных средств защиты от DDoS-атак, то есть хорошая альтернатива – защита от DDoS «по требованию». Изучите куда и как вы можете обратится в случае нападения.
Информация частично взята с «хабра» (в части правил), если вы хотите глубоко покопаться в защите сайта от DDoS атак, вот ссылка на статью ссылка.
Кое-что интересное
Тут я хочу поделится видео с канала моего партнера о том как установить защиту сайта на WordPress. Здесь он рассказывает об одном из самых популярных плагинов для защиты сайта на Wordpress – WordPress All In One WP Security & Firewall (ссылка на плагин в абзаце под видео). Это комплексное решение, которое охватывает почти все возможные внутренние уязвимости сайта:
Плагин безопасности
Вы можете скачать плагин комплексной защиты сайта по этой ссылке ниже:
All In One WP Security & Firewall
Выводы
Многие из тех, кто считает Вордпрес уязвимой платформой, заблуждаются. Проблемы с внутренней и внешней безопасностью могут быть вызваны (и чаще всего так и происходит) только неосторожными, непредусмотрительными, или ошибочными действиями владельца сайта. Если вы пользуетесь проверенным хостингом, регулярно меняете пароль для входа в админ панель, пользуетесь плагинами для защиты сайта, не используете адреса email в тексте сайта и в целом следуете рекомендациям из этой статьи, безопасности вашего ресурса ничего не угрожает.
Заказать настройку защиты сайта
Вы можете заказать настройку, или донастройку защиты сайта на WordPress у меня, для этого заполните контактную форму ниже, или свяжитесь со мной через раздел контакты.