7 мифов о безопасности WordPress: полностью развенчаны и опровергнуты
Опубликовано: 2023-10-21Несмотря на то, что WordPress является самой популярной системой управления контентом в мире, мифы о безопасности платформы WordPress продолжают циркулировать. Из-за открытого исходного кода неопытные пользователи могут посчитать его менее безопасным, чем коммерческий продукт. Кроме того, их могут нервировать сообщения о проблемах безопасности WordPress в новостях.
Миф №1: Безопасность — это работа вашего хостинг-провайдера
Как новичок или начинающий владелец веб-сайта, вы можете подумать, что обеспечение безопасности вашего веб-сайта — это прерогатива людей, которым вы платите за его поддержание в сети. И это в некотором смысле правда; ваш провайдер веб-хостинга действительно является первой линией защиты. Их работа — убедиться, что на ваш веб-сервер сложно проникнуть, и защитить физический объект, на котором находится ваш сайт. Если они этого не делают, они просто плохой хозяин.
Безопасность веб-сайта — это в основном ваша ответственность
Однако, помимо этого, степень участия вашего хостинг-провайдера в обеспечении безопасности вашего веб-сайта WordPress действительно зависит от вашего плана. На общем хосте, VPS-хосте или даже выделенном сервере вы, по сути, арендуете только серверное пространство. Что вы с этим будете делать, зависит от вас.
Это означает, что хостинг-провайдер никоим образом не помогает вам обеспечить безопасность вашего сайта WordPress. Это твоя работа.
Конечно, некоторые провайдеры предлагают дополнительные функции безопасности, такие как брандмауэр или CDN. Они также будут проверять свои серверы на наличие вредоносного ПО, вирусов и т. д. и принимать меры, если обнаружат что-либо на вашем сайте. Однако зачастую это также означает, что они отключают ваш сайт и просят вас исправить его. Не идеальное решение, особенно если вы новичок.
Управляемый хостинг может помочь
Если вы хотите, чтобы ваш хостинг-провайдер играл более активную роль в обеспечении безопасности вашего веб-сайта WordPress, вам следует выбрать управляемый хостинг. Это называется так потому, что помимо предоставления серверного пространства провайдер управляемого хостинга также берет на себя некоторые повседневные задачи, связанные с запуском веб-сайта. Безопасность — один из них, а также оптимизация скорости, обновления сайта и экспертная поддержка.
Конечно, такого рода услуги требуют дополнительных затрат, однако зачастую они того стоят, если вы уверены в своем уровне навыков по обеспечению безопасности своего сайта. Это может обеспечить душевное спокойствие.
Однако в целом давайте раз и навсегда развеем этот миф о безопасности WordPress: если это не является частью забронированной вами услуги, ваш хостинг-провайдер не несет ответственности за безопасность вашего веб-сайта и предотвращение его взлома и взлома. Эта ответственность лежит на вас.
Миф №2: WordPress сам по себе представляет угрозу безопасности
Теперь вы можете подумать: «Хорошо, если хостинг-провайдер не сделает этого за меня, не рискованно ли полагаться на бесплатное программное обеспечение?» Насколько хорошим может быть то, что группа волонтеров делает в свободное время? Кроме того, я вижу, как эти люди из Wix говорят мне по телевизору, что WordPress тоже небезопасен».
Хорошо, давайте займемся этим дальше.
Первое, что вам нужно понять, это то, что ничто, подключенное к Интернету, не является полностью безопасным. Ежедневно взламываются тысячи веб-сайтов, от самых больших до самых маленьких. Это как в жизни, в конце концов, есть просто разные уровни незащищенности и стараться сделать так, чтобы что-то плохое произошло как можно меньше.
WordPress имеет обширные меры безопасности
Здесь у WordPress дела обстоят не хуже, чем у других. Фактически, за прошедшие годы на платформе была реализована надежная система обнаружения и устранения проблем безопасности в основном продукте.
Существует специальная группа по безопасности, состоящая из около 50 экспертов, включая ведущих разработчиков, исследователей безопасности и других специалистов по веб-безопасности. Многие из них работают в WordPress.com, компании, которая заинтересована в обеспечении отказоустойчивости программного обеспечения, на котором основан весь их бизнес.
Кроме того, команда консультируется с группами безопасности других хостинговых компаний и даже систем управления контентом.
Их роль — активно отслеживать WordPress на предмет уязвимостей и быстро реагировать на все, что возникает. Если что-то, о чем сообщается, является достаточно серьезным, у них есть возможность создать и немедленно выпустить исправление. Он будет автоматически установлен на любой веб-сайт WordPress версии выше 3.7, если вы специально не отключите эту функцию.
Кроме того, WordPress обычно получает частые обновления, примерно две-три новые основные версии в год с второстепенными обновлениями, обновлениями обслуживания и безопасности между ними. Каждый из них содержит исправления потенциальных проблем безопасности и проходит обширный процесс тестирования.
Его сообщество — его главный актив
Помимо вышесказанного, у вас может сложиться неправильное представление о том, как на самом деле выглядит эта «группа волонтеров». Многие из них — сотрудники компаний с оборотом в миллион долларов, использующих WordPress для своего бизнеса. Кроме того, у всех из них есть возможность обеспечить безопасность программного обеспечения, на котором они живут.
В целом, природа WordPress с открытым исходным кодом является одной из его сильных сторон. Исходный код находится в свободном доступе, открыт для проверки любым желающим, а также для поиска и сообщения об лазейках в безопасности. И многие люди так делают. Я имею в виду, просто посмотрите на количество участников WordPress 6.3.
Наконец, существует множество специализированных хостинг-провайдеров и плагинов безопасности для дальнейшего повышения безопасности веб-сайтов WordPress. Не говоря уже о тысячах сообщений в блогах и учебных пособий, которые также помогают пользователям внедрять меры безопасности.
Итак, что мы можем сказать по поводу этого мифа о безопасности WordPress? Неправда. Системы, обеспечивающие безопасность и неуязвимость основного продукта WordPress, не уступают системам коммерческих организаций или превосходят их.
Миф № 3: WordPress — самая взломанная платформа
Что-то, что может способствовать вашему беспокойству по поводу использования WordPress, — это статистика, которая говорит, что это самая взломанная CMS. И это правда, в прошлом платформа появлялась в новостях из-за некоторых громких проблем с безопасностью. Я имею в виду, просто посмотрите на этот график, разве он не заставляет вас скептически относиться к использованию WordPress для чего-то серьезного?
Учитывайте размер WordPress
Здесь нам следует вернуться к одной из первых вещей, о которых мы говорили во введении. WordPress — самая популярная система управления контентом.
Насколько это популярно?
По данным W3techs, на нем работают более 43% всех веб-сайтов в Интернете.
В абсолютных цифрах это более 470 миллионов сайтов. Это много веб-сайтов. Кроме того, как вы можете видеть на графике выше, ни одна другая система даже близко не приближается к этим показателям.
Итак, почему WordPress является самой взломанной платформой? Потому что есть гораздо больше сайтов WordPress, которые можно взломать.
Подумайте об этом: если бы вы были тем, кто зарабатывает на жизнь взломом чужих веб-сайтов, на какую систему вы бы нацелились? Тот, у которого бесконечный запас потенциальных жертв и больше шансов, что кто-то оставит боковую дверь открытой, или тот, где цели находятся далеко друг от друга? Вы, наверное, знаете ответ.
Ядро WordPress — не проблема
Наконец, если вы углубитесь в статистику, вы быстро обнаружите, что лишь очень небольшой процент успешных взломов WordPress происходит из-за самого WordPress. И даже в таких случаях, зачастую потому, что на сайте установлена устаревшая версия.
Подавляющая часть уязвимостей связана с расширениями WordPress, в частности с плагинами.
Так что да, WordPress действительно является самой уязвимой платформой, и большая часть этого мифа о безопасности верна. Однако причина этого гораздо более тонкая.
Миф № 4: Тогда плагины WordPress небезопасны
Внимательный наблюдатель (которым вы наверняка и являетесь) мог бы заметить, что мы просто бросили все наши аргументы под шумок. Судя по всему, мы признали, что плагины WordPress представляют собой огромную проблему безопасности.
Поскольку они являются центральной частью экосистемы и опыта WordPress (поскольку все используют их для добавления дополнительных функций на веб-сайты), это должно означать, что у вас нет другого выбора, кроме как создавать небезопасные веб-сайты с помощью WordPress.
О нет, разорился!
Проблема с плагинами
Естественно, и здесь нужно быть более тонким.
Да, очевидно, что есть проблема с плагинами WordPress. Они являются общей точкой входа на веб-сайты.
Однако, чтобы представить это в перспективе, сначала нужно взглянуть на огромное количество существующих плагинов. Только в репозитории WordPress их около 60 000. Кроме того, их можно найти в других магазинах в Интернете.
Однако то, что является активом экосистемы WordPress, также может быть обузой. Авторы этих плагинов имеют разный уровень квалификации, и не все плагины активно поддерживаются и обновляются. Поэтому они могут иметь разные уровни качества и безопасности кода.
Сообщество WordPress знает об этом и делает все возможное, чтобы отреагировать на эту проблему. Были случаи, когда плагины с известными проблемами удалялись из каталога плагинов. Кроме того, у нас есть люди, работающие над средством проверки плагинов, аналогичным плагину проверки тем, чтобы повысить общее качество плагинов WordPress.
Итак, первое правило, позволяющее противостоять этой угрозе безопасности, — убедиться, что вы используете плагины, которые а) получены из надежных источников и б) получают активную поддержку и обслуживание.
Дело не только в плагинах, а в том, как вы их используете
Однако сами плагины — это лишь одна часть уравнения. Во многих случаях проблема заключается в том, как люди используют их на своих сайтах. В том же отчете, упомянутом выше, также говорится, что на 36% взломанных сайтов имелся устаревший плагин.
Итак, как и в случае с ядром WordPress, проблема не обязательно в программном обеспечении, поскольку проблемы безопасности действительно устраняются, а в том, что пользователи не применяют эти исправления.
Кроме того, часто возникает проблема с количеством плагинов. Как очевидно из вышеизложенного, расширения несут в себе некоторый риск. Следовательно, чем больше их у вас будет, тем больше потенциальных боковых дверей вы представите на своем участке.
Решение: устанавливайте столько плагинов, сколько вам нужно для выполнения работы. Если вы не используете плагин активно, удалите его. Не позволяйте ему задерживаться на вашем веб-сайте, где он только стареет и потенциально представляет угрозу безопасности.
Миф №5: Ваш сайт не является целью, никто не заботится о нем
Это классический миф о безопасности веб-сайтов, даже за пределами WordPress. Многие люди, особенно те, кто занимается хобби или небольшими веб-сайтами, не считают, что они представляют собой достаточно выгодную цель для хакера, чтобы заинтересоваться ее атакой. Я имею в виду, если вы публикуете только фотографии своего домашнего хомяка, что может кто-то получить, взломав ваш сайт?
Хакерство не является личным
Здесь вам нужно понять две вещи. Во-первых, взлом веб-сайтов не похож на то, что вы видите в фильмах. Нет человека в толстовке с капюшоном, сидящего перед ноутбуком, который вручную выбирает ваш сайт, а затем вручную ищет пути к нему.
Нет, подавляющее большинство атак происходит автоматически. Существует армия автоматизированных ботов, которые постоянно сканируют сеть на наличие известных уязвимостей на веб-сайтах и, если они их находят, пользуются этим. Большую часть времени вы просто жертва возможностей.
Захват вашего сайта на самом деле не является целью
Во-вторых, взлом веб-сайта зачастую не связан с кражей финансовых данных или другой конфиденциальной информации. В большинстве случаев хакеры просто пытаются захватить часть вашего сайта, чтобы использовать его в своих целях:
- Завербовать его как часть ботнета, чтобы использовать в таких целях, как DDoS-атаки.
- Отправка спама с вашего почтового сервера
- Распространяйте вредоносное ПО на компьютеры ваших посетителей
- Размещайте на своем сайте ссылки на мошеннические сайты.
Некоторые люди также просто делают это, чтобы испортить ваш сайт и доказать свои навыки.
Так что имейте это в виду. Это не о тебе. Речь идет просто о том, чтобы стать целью, которую можно использовать, и вы должны сделать все возможное, чтобы этого избежать.
Миф №6: Использование надежных паролей обеспечит безопасность вашего сайта
Использование защищенной информации для входа определенно является частью безопасности WordPress, и это не миф. Есть много способов, которыми слабые пароли и имена пользователей могут вас укусить:
- Атаки грубой силы . Означают, что программа случайным образом пробует разные комбинации имени пользователя и пароля, пока что-то не получится.
- Подстановка учетных данных . Это похоже на атаку методом грубой силы, однако более целенаправленная. В этом случае хакер использует учетные данные, которые уже были скомпрометированы, например, обнаружены в результате другой кибератаки. Эта атака основана на том факте, что многие люди повторно используют свои имена пользователей и пароли.
Если вы не верите, что это может быть так уж плохо, вот инфографика, показывающая, как быстро в среднем хакеры могут взломать ваш пароль, в зависимости от его сложности.
Итак, надежные пароли помогают защитить ваш сайт. Тогда почему этот пункт появляется в списке мифов о безопасности WordPress?
Потому что одни только надежные пароли не помогут. Безопасность веб-сайтов — это головоломка, частью которой они являются. Если вы пренебрегаете всем остальным, вы все равно оставляете злоумышленникам важные возможности для проникновения на ваш сайт.
Кроме того, пароли — это только начало. Чтобы по-настоящему заблокировать страницу входа в систему, лучше всего ограничить попытки входа в систему, использовать многофакторную аутентификацию и рассмотреть возможность установки брандмауэра. Кроме того, надежные учетные данные важны не только для самого сайта, но и для всего, что с ним связано, например, для учетных записей хостинга и FTP.
Миф № 7: Просто установите плагин безопасности, и дело сделано
Многие новички, мало что знающие о безопасности WordPress, полагаются на плагины для обеспечения безопасности своего сайта. И плагины безопасности WordPress, такие как WordFence, MalCare или Sucuri, являются для этого настоящей находкой. Они очень полезны, помогая неопытным пользователям защитить свой сайт от злоумышленников всего за несколько кликов.
Однако, опять же, это не надежный способ обеспечить безопасность вашего сайта. Область влияния этих плагинов имеет свои пределы: на самом деле они могут только заблокировать сам сайт, но не имеют власти над его более широкой средой.
Если ваш сайт находится на незащищенном сервере или ваша учетная запись хостинга взломана из-за слабого пароля, ваш плагин безопасности будет бессилен защитить ваш сайт от него. Итак, еще раз, плагины безопасности WordPress сами по себе не миф, просто они не могут выполнить эту работу самостоятельно.
Последний миф: безопасность WordPress сложна
Представление о том, что обеспечить безопасность вашего веб-сайта WordPress сложно, — это еще один миф, который удерживает людей от создания собственного сайта. Хотя это важная тема, это также не ракетостроение. В конце концов, большая часть безопасности веб-сайта сводится к соблюдению нескольких лучших практик:
- Используйте подходящего хостинг-провайдера, выберите управляемый хостинг, если вам нужна помощь с безопасностью.
- Постоянно обновляйте WordPress, все плагины и темы.
- Имейте на своем сайте только минимум расширений, отключите и удалите то, что вы не используете активно, и убедитесь, что все, что у вас есть на сайте, поддерживается в хорошем состоянии.
- Убедитесь, что ваши учетные данные для входа в систему надежны, и храните их в безопасности, повысьте безопасность, ограничивая попытки входа в систему и используя многофакторную аутентификацию.
- Регулярно создавайте резервную копию вашего сайта, чтобы иметь возможность вернуться к более ранней версии.
- Используйте плагины безопасности WordPress для помощи, но также учитывайте те части, над которыми они не имеют контроля.
При их наличии вероятность того, что что-либо произойдет с вашим сайтом, должна значительно снизиться, даже если она никогда не станет нулевой.
О каком мифе о безопасности WordPress вы регулярно слышите или на который подписались? Дайте нам знать об этом в комментариях!