Развенчание мифов о безопасности хостинга WordPress

Хостинг WordPress сложный. Каждый сайт WordPress зависит от стека программного и аппаратного обеспечения, созданного компаниями и сообществами со стандартами и ценностями, которые трудно понять извне. Это порождает недоразумения и мифы, особенно когда речь идет о безопасности.
В этой статье мы рассмотрим некоторые из самых пагубных мифов о хостинге WordPress, уделив особое внимание мифам, которые приводят к ошибкам безопасности.

Небольшие сайты не взламывают

СМИ часто сообщают о значительных нарушениях безопасности, когда цель злоумышленника кажется очевидной. Жертвы хранят гигабайты личных данных, которые могут быть использованы для кражи личных данных. Многие хранят номера кредитных карт, которые по понятным причинам украдены. Некоторые злоумышленники занимаются промышленным шпионажем.
Ничто из этого не относится к небольшим веб-сайтам с несколькими учетными записями пользователей: там не так много полезных личных данных. Они редко хранят номера кредитных карт, разумно решив использовать платежный процессор. Так зачем преступнику вкладывать усилия во взлом небольшого сайта?
Во-первых, это не требует особых усилий. Большая часть взломов автоматизирована: боты просматривают сеть в поисках уязвимых сайтов, компрометируя их с помощью заранее запрограммированных атак. Злоумышленник запускает своих ботов и ждет, пока не поступят IP-адреса.
Во-вторых, даже небольшой сайт представляет ценность. У него есть аудитория, которая может быть заражена вредоносным ПО. Его можно затащить в ботнет злоумышленника и использовать для компрометации других сайтов или для участия в DDoS-атаках. Его можно использовать для SEO-спама. Каждый веб-сайт представляет собой пакет пропускной способности, хранилища и вычислительной мощности — все это полезно для преступников.

Если это работает, зачем обновляться?

Люди, которые не проводят свою жизнь, глядя на код на экране, вполне удовлетворены тем, что технология делает то, что должна. Им может показаться, что обновления, которые приносят изменения, нежелательны. WordPress несложно изучить, но он достаточно сложен, чтобы мысль об изменениях беспокоила некоторых из миллионов его пользователей.
Люди, которые используют WordPress каждый день, привыкают к нему. Они предпочитают избегать изменений ради самих изменений, поэтому часто неохотно обновляются. Ведь зачем менять то, что работает.
Ответ разработчика на это двоякий. Программное обеспечение никогда не стоит на месте и должно меняться, чтобы идти в ногу с изменениями в мире. И, что более важно, обновления исправляют ошибки, вызывающие уязвимости в системе безопасности. Сайт, который не обновлялся несколько месяцев, почти наверняка уязвим. В предыдущем разделе мы говорили о ботнетах и ​​автоматизированном взломе. Эти боты ищут неисправленные системы управления контентом. В конце концов, они найдут непропатченный сайт и взломают его.

Я бы знал, если бы была проблема

Как выглядит взломанный сайт? По большей части он выглядит как веб-сайт, который не был взломан, особенно для его владельца. Как мы уже говорили, злоумышленники взламывают веб-сайт, потому что им нужны его данные, ресурсы, посетители или SEO-потенциал. Если владелец сайта узнает, что его взломали, злоумышленник теряет доступ к этим ресурсам. Значит, они хитрые. Они пытаются спрятаться.
Если вы внимательно посмотрите, вы можете заметить всплески пропускной способности или использования памяти. Если вы регулярно сканируете вредоносные программы, вы можете найти их вредоносный код. Но если вы пользуетесь сайтом нормально, вы вряд ли увидите что-то неладное.
Возьмем, к примеру, SEO-спам. Когда сайт скомпрометирован, в его содержимое внедряются ссылки на сайты, которые злоумышленник хочет продвигать. Эти ссылки видны Google, и они могут быть видны обычным посетителям, но они скрыты от людей, вошедших на сайт.
Вот почему рекомендуется регулярно сканировать свой сайт с помощью таких инструментов, как Sucuri или Wordfence . Они обнаруживают вредоносный код и сообщают вам об этом. Если вы не сканируете, то, скорее всего, узнаете об атаке, когда Google начнет предупреждать вашу аудиторию о том, что ваш сайт небезопасен.

SSL обеспечивает безопасность вашего сайта

SSL-сертификаты выполняют две функции. Они шифруют данные, передаваемые по сети от сервера к браузеру и обратно. И они используются браузерами для проверки того, что они подключены к ожидаемому хосту. Это все, что делают SSL-сертификаты. Они являются важным инструментом безопасности и конфиденциальности, но они не защищают данные, хранящиеся на сервере сайта. Они также не защищают сайт от злоумышленников, пытающихся воспользоваться уязвимостями.

Каждый плагин WordPress бесплатен

Это пагубный миф, который заставляет людей загружать плагины, зараженные вредоносным ПО. Большинство плагинов WordPress имеют открытый исходный код под лицензией GPL. Когда разработчик распространяет плагин, он также распространяет исходный код. Они обязаны это делать по лицензии.
Часто программное обеспечение с открытым исходным кодом является бесплатным. Это не стоит никаких денег, чтобы использовать. Сам WordPress имеет открытый исходный код и бесплатен. Но некоторые программы с открытым исходным кодом нельзя использовать бесплатно . Плагины WordPress премиум-класса относятся к этой категории: они имеют открытый исходный код, но разработчик ожидает, что пользователи будут платить лицензионный сбор за использование плагина.
Когда пользователи вносят плату, они получают исходный код по мере необходимости. Но открытый исходный код не означает, что разработчик должен предоставить всем исходный код — только людям, которым распространяется плагин, людям, которые заплатили. Обычно это неправильно понимают. Совершенно законно взять код премиум-темы и раздать его бесплатно после того, как вы заплатите за него, но сообщество WordPress не одобряет это по очевидным причинам.
Вам может быть интересно, какое это имеет отношение к безопасности. Злоумышленники знают, что люди хотят использовать плагины премиум-класса, не платя за них. Итак, они берут плагин, добавляют немного вредоносного ПО и раздают бесплатно. Эти «обнуленные» или «пиратские» плагины содержат бэкдоры и другой вредоносный код. Когда ничего не подозревающий пользователь WordPress устанавливает обнуленный плагин, он передает контроль над своим сайтом злоумышленнику. Установка пиратских плагинов на свой сайт — плохая идея.
В этом посте мы рассмотрели пять распространенных мифов о хостинге WordPress, и есть еще много других, которые мы могли бы включить. Если вы хотите увидеть дополнительную публикацию, в которой раскрываются другие мифы о хостинге WordPress, сообщите нам об этом в комментариях.