Створити сайт самостійно доволі просто, і це може зробити навіть людина, яка ніколи раніше не займалася розробкою. Потрібно лише купити хостинг і домен, встановити на них популярну CMS і наповнити контентом. При цьому навіть не потрібно знати, як пишеться код.
Система керування контентом WordPress має відкритий код. За замовчуванням CMS містить декілька типових функцій і 3 готових шаблони (теми). Але за бажанням можна випустити власні плагіни (додатки з певним функціоналом) і шаблони. Їх завантажують прямо з магазину або з сайтів, ввівши в Інтернеті запит на кшталт wordpresstemplates. Плагіни та теми можуть бути безкоштовними повністю або умовно.
Плагінам Wordpress все під силу для покращення дизайну та функціональності веб-сайту: вдосконалення SEO, збір статистики, покращення структури веб-сайту, прив’язка платіжних інструментів, вставка відео, іконок соціальних мереж, форумів, хмар тегів. Ці маніпуляції можна проводити навіть без відкриття редактора коду.
Але при цьому кожен плагін являє собою файл з кодом, який встановлюється у файли сайту і має доступ до нього. І немає ніяких гарантій, що у коді не сховано вірус або вразливість, яка дозволить вбудувати шкідливе ПЗ.
Звідки можуть з’явитись вразливості на CMS WordРress і яку загрозу вони можуть нести сайту
Під час закачування плагіну або шаблону ми не впевнені, що саме запускаємо, адже лізти в код і перевіряти його далеко не кожному під силу. А його може бути написано таким чином, щоб хакери змогли зламати систему управління і використати веб-ресурс у своїх темних справах: знайти вразливість і внести корективи в код. Є чимало вузьких місць у коді, через які нескладно зламати сайт на Wordpress.
Такий код може:
• мати віруси та шкідливе програмне забезпечення;
• скидати пароль адміна і отримувати доступ до даних;
• сприяти інтернет-шахрайству, що може призвести до втрати грошей і репутації компанії;
• автоматично перенаправляти на якісь ресурси, наприклад, для накручування переглядів;
• організовувати DDoS-атаки тощо.
Які сервіси допоможуть перевірити сайт на наявність вразливості
Для визначення вразливості сайту на WordPress є декілька онлайн-сервісів, як безкоштовних, так і платних з деяким додатковим функціоналом:
• HackerTargetWordPressSecurityScan;
• Scanurl;
• SucuriWebsiteMalwareandSecurityScanner;
• UpGuard.
Сканувати одним із обраних сервісів на наявність вразливостей потрібно хоч б щомісяця.
Покрокова інструкція для захисту сайту на Wordpress
Ризики злому сайту можна суттєво зменшити і захистити сайт на WordPress, вживши певних заходів, зокрема:
1. Захист адмінки. Першою ознакою, що над сайтом намагаються встановити контроль, є скидання старого пароля адміна і встановлення нового. Для уникнення цього потрібно:
• встановити двофакторну аутентифікацію — це друга стадія захисту після введення паролю (наприклад, смс), для якої можуть використовуватись плагіниJetpack, Wordfence, GoogleAuthenticator;
• обмежити кількість спроб ввести пароль за допомогою плагінівLoginizer, LimitLoginAttempts тощо (задається в налаштуваннях плагіна);
• створити окремо облікові записи з обмеженими правами для користувачів адмінки, наприклад, контент-менеджерів.
1. Обрання перевірених плагінів і шаблонів. Краще, щоб це були популярні плагіни та теми, яким довіряє компанія Wordpress і які періодично оновлюються.
2. Оновлення плагінів і самої версії Wordpress. Зазвичай, розробники періодично роблять перевірку свого продукту на наявність вразливості Вордпрес. У разі виявлення проблему усувають у наступному патчі.
3. Встановлення спецплагінів безпеки. Плагіни можуть відрізнятись функціоналом. Одні – сканують веб-сайт, інші – не дають скинути пароль і т.д. Але не треба перегинати палку з кількістю плагінів, адже вони впливають на швидкість роботи сайту. Серед перевірених плагінів варто виділити:
• Sucuri – тестує файли сайту, захищає від DDoS-атак, сканує на віруси, підтримує сертифікат безпеки і т.д.;
• AllinOne WP Security&Firewall — блокує ІР-адреси при повторному некоректному введенні паролю, повідомляє, коли файли сайту редагуються, надає доступ в адмінку лише в робочий час і багато іншого;
• Loginizer – блокує адресу користувача адмінки, який некоректно ввів пароль;
• Jetpack від Wordpress – сканує на віруси, контролює трафік, відсікає спам, оптимізує сайт, збирає статистику, допомагає з розсилкою тощо;
• Wordfence – сканує на віруси, контролює трафік, повідомляє про DDos-атаки і фішингові посилання, захищає від ботів тощо.
Загальні рекомендації щодо захисту сайту
Дотримання загальних рекомендацій суттєво зменшує ризики «спіймати» вірус:
• адмініструйте сайт із захищеного ПК;
• регулярно скануйте пристрої всіх користувачів адмінки;
• вчасно робіть бекапи;
• підбирайте надійний пароль і регулярно його змінюйте;
• встановлюйте унікальні логіни для адміністраторів.
Також обов’язково треба встановити SSL-сертифікат і перейти на https-протокол, особливо, якщо на сайті збираються особисті дані користувачів та приймаються платежі.
Способів захисту сайту на Wordpress напевно стільки ж, скільки є варіантів його зламу. Тому дуже важливо бути дисциплінованим і уважним у плані оновлення CMS і плагінів. Повірте, це зовсім не складно, але допоможе уникнути зайвих проблем.