В этом техническом совете описаны семь простых исправлений, которые малые и средние предприятия могут использовать для предотвращения семи наиболее распространенных уязвимостей WordPress.
Большие и малые предприятия полагаются на WordPress: по меньшей мере 43% веб-сайтов во всем Интернете используют WordPress для поддержки своих сайтов, приложений электронной коммерции и сообществ. Однако запуск WordPress сопряжен с определенными рисками. Только в 2022 году всего два плагина привели к тому, что 6 миллионов пользователей столкнулись с критическими уязвимостями, которые подвергают риску пользовательские данные, финансовую информацию, учетные данные для входа и многое другое.
Защита WordPress может быть дорогостоящей и сложной для малого и среднего бизнеса (SMB), у которого практически нет специального персонала службы безопасности. К счастью, семи наиболее распространенным проблемам, с которыми сталкиваются сайты на WordPress, можно противостоять с помощью семи простых исправлений.
1. Обновите ядро WordPress
Одной из основных проблем, связанных с уязвимостями WordPress, является устаревшее ядро — основополагающие файлы, необходимые сайтам WordPress для работы. WordPress выпускает основные обновления каждые три месяца, и пропуск одного или двух циклов выпуска может легко сделать сайт уязвимым. Статистика использования WordPress показывает, что около 40% сайтов работают на устаревших версиях.
Администраторам сайтов необходимо регулярно проверять панель управления WordPress своего сайта на наличие последних обновлений и планировать окна обслуживания, когда сайт будет недоступен, чтобы применить обновления.
2. Обновите темы и плагины
Благодаря множеству тем и подключаемых модулей пользователи могут легко настраивать и экспериментировать с новыми функциональными возможностями. Эти же темы и плагины также необходимо регулярно обновлять для работы с последней версией Core. Панель подключаемых модулей WordPress может отображать новейшие версии каждого установленного плагина, соответствующего последней версии core.
3. Регулярно проверяйте их на наличие вредоносных программ
Злоумышленники регулярно используют уязвимости в широко используемых плагинах для компрометации веб-сайтов. Проверяйте плагины на наличие недостатков перед установкой (и всегда устанавливайте последнюю версию). Регулярное проведение проверок безопасности может помочь обнаружить потенциальные заражения вредоносными программами. В случае заражения WordPress предлагает несколько подключаемых модулей для обнаружения и удаления кибербезопасности, которые помогут вам быстро искоренять угрозы. Основная цель – подтвердить, что ядро вашего сайта, тема и подключаемый модуль обновлены и не содержат подозрительных файловых инъекций или вредоносных программ. Сканеры полностью настроены на запуск через запланированные промежутки времени, и все они предлагают возможности сканирования по требованию, которые пользователи могут запускать из административного интерфейса.
Обратите внимание, что в основной команде нет плагина для обнаружения и удаления кибербезопасности. Независимые исследователи, такие как Patchstack, WPScan и Wordfence, могут сообщать об уязвимостях автору плагина и основной команде, а основная команда может удалить плагин из wordpress.org.
4. Избегайте скимминга с кредитных карт
Скимминг по кредитным картам, при котором злоумышленники вставляют вредоносный код JavaScript в приложение электронной коммерции для сбора конфиденциальной информации о кредитной карте, является одним из основных методов, с помощью которых хакеры атакуют сайты WordPress. Наряду с поддержанием сайта и подключаемых модулей в актуальном состоянии, владельцам сайтов следует установить средства мониторинга, брандмауэры, системы обнаружения вторжений и сертификаты для предотвращения кибератак.
Владельцы бизнеса могут защитить себя от этого, используя такие интеграции, как Stripe или PayPal, по сути, проверенные платежные системы, чьи системы автоматически защищают клиентов от скимминга. Проведение аудита на соответствие PCI совместно с аудитором имеет решающее значение, поскольку они будут делиться отчетами с рекомендуемыми действиями для обеспечения соответствия.
5. Блокируйте несанкционированные входы в систему
Атаки методом перебора, при которых злоумышленники повторно используют все возможные комбинации паролей, чтобы получить доступ к сайту, являются еще одним распространенным методом атаки. Затрудняйте злоумышленникам проведение атак методом перебора, используя надежные учетные данные для входа и затрудняя поиск внутренней страницы входа на сайт. Настройте свой сайт WordPress так, чтобы у него был другой URL-адрес для входа в wp-admin, а не путь по умолчанию. Добавление защиты от ботов обеспечивает защиту входа в систему от потенциальных угроз.
Кроме того, внедрение CAPTCHA на ваш сайт может быстро предотвратить повторные попытки входа в систему. К наиболее популярным используемым технологиям и плагинам относятся GoogleReCAPTCHA v3 (Невидимая reCAPTCHA для WordPress) и Hcapchta (hCaptcha для WordPress). Удобной альтернативой является турникет Cloudflare или простой турникет Cloudflare.
6. Остановите спам поисковой оптимизации (SEO)
Злоумышленники могут воспользоваться устаревшими плагинами и темами сайта, неопределенными ролями пользователей, контентом, похожим на спам, и слабыми средствами контроля безопасности, чтобы вставить ключевые слова для рассылки спама и всплывающие объявления. Одним из признаков SEO-спама является вредоносный плагин или тема. Очистите все подозрительно выглядящие плагины и темы, установите плагины для защиты от нежелательной почты и регулярно просматривайте свой сайт.
7. Устраните уязвимость при включении файлов
Установки WordPress зависят от множества конфиденциальных файлов (например, wp-config.php, install.php, и readme.html). Если не будут приняты надлежащие меры предосторожности, эти конфиденциальные файлы могут быстро стать уязвимыми, что позволит хакерам выполнять свой код на вашем сайте, включая опасный код рядом с этими файлами.
Чтобы предотвратить эти уязвимости, вставьте следующий код в свой файл .htaccess:
Options All -Indexes
<Files .htaccess>Order allow,deny
Deny from all
</Files><Files farhan.php>
Order allow,deny
Deny from all
</Files><Files license.txt>
Order allow,deny
Deny from all
</Files><Files install.php>
Order allow,deny
Deny from all
</Files><Files wp-config.php>
Order allow,deny
Deny from all
</Files>
<Files error _log>Order allow,deny
Deny from all
</Files><Files fantastico_fileslist.txt>
Order allow,deny
Deny from all
</Files><Files fantversion.php>
Order allow,deny
Deny from all
</Files>
Обеспечение строгой безопасности
Строгая безопасность – ключ к максимальному использованию WordPress. Хотя WordPress может быть заманчивой целью для многих хакеров, пользователи могут предпринять простые шаги для снижения киберрисков и предотвращения атак.
Отразить действия злоумышленников может быть так же просто, как убедиться, что ваш WordPress полностью обновлен, и воспользоваться множеством доступных подключаемых модулей безопасности. Тщательное изучение тем и подключаемых модулей, которые вы хотите использовать, а также выбранного вами хост-провайдера может иметь большое значение для предотвращения ошибок, которые привели к повреждению миллионов сайтов.
