Тысячи сайтов WordPress потенциально используют уязвимый плагин: вот как обеспечить безопасность вашего сайта

В марте 2024 года в плагине WordPress WordPress Automatic была обнаружена критическая уязвимость. WordPress Automatic, доступный на торговой площадке Code Canyon, представляет собой автоматический очиститель контента, который извлекает статьи, видео, продукты, изображения и другие типы контента из внешних источников и автоматически повторно публикует этот контент на вашем веб-сайте.

Исследовательская фирма Patchstack обнаружила уязвимость, которая позволила злоумышленникам использовать атаки с использованием SQL-инъекций, чтобы получить полный контроль над уязвимыми веб-сайтами. Все типы веб-сайтов – от вейп-магазинов до личных блогов – были уязвимы для атаки, если они использовали непропатченную версию плагина.

Хотя плагин был исправлен быстро, некоторые владельцы веб-сайтов не установили его, поскольку не знали о серьезности проблемы. Недавние отзывы пользователей о плагине WordPress Automatic позволяют предположить, что по крайней мере несколько веб-сайтов были полностью потеряны из-за уязвимости.

Ни один веб-сайт не застрахован полностью от взлома, а WordPress, на котором работает около 43 процентов всех веб-сайтов в мире, является приоритетной целью для злоумышленников.

Однако есть и хорошие новости: когда веб-сайт действительно взламывают, обычно это происходит не потому, что хакер нацелился конкретно на этот сайт. Чаще всего веб-сайты взламываются из-за того, что на них используются уязвимые темы или плагины WordPress, которые были обнаружены с помощью автоматических сканеров.

Другими словами, если на вашем сайте нет известной уязвимости, которую легко найти с помощью сканера и использовать автоматические средства, хакеры обычно будут двигаться дальше.

Имея это в виду, вы можете обеспечить безопасность своего сайта WordPress, просто следуя нескольким разумным правилам безопасности. В этом руководстве мы подробно объясним, что вам нужно сделать, чтобы свести к минимуму риск того, что небезопасный плагин приведет к преждевременному закрытию вашего сайта.

Своевременно обновляйте свою тему и плагины

Когда вы входите в WordPress, вы всегда увидите уведомление на боковой панели, если доступны обновления для темы или плагинов вашего сайта. В некоторых случаях плагин с ожидающим обновлением даже отображает сообщение вверху страницы. Если на вашем сайте установлено большое количество плагинов, вы можете видеть уведомления об обновлениях почти каждый раз при входе в систему и иногда можете откладывать загрузку и установку этих обновлений. Однако вы делаете это на свой страх и риск, потому что никогда не знаешь, когда обновление может включать исправление критической проблемы безопасности.

Плагин WordPress Automatic был обновлен сразу же, как только его создатель был уведомлен об уязвимости безопасности. Однако, как сообщается, соглашение о неразглашении не позволяло создателю плагина обсуждать недостаток до тех пор, пока Patchstack не обнародовал его. По этой причине некоторые пользователи проигнорировали обновление.

Поддержание полных резервных копий сайта и базы данных

Веб-хосты все чаще предлагают полностью автоматическое резервное копирование веб-сайтов и баз данных, что очень важно для безопасности. Если ваш веб-сайт взломан, наличие резервной копии означает, что вы можете восстановить сайт в его предыдущее состояние — иногда одним щелчком мыши. Если ваш хостинг не предлагает эту услугу, несколько плагинов WordPress могут сделать эту работу за вас. Однако важно поддерживать библиотеку резервных копий, сделанных в разные моменты времени. Если ваш сайт взломан, может пройти некоторое время, прежде чем вы это заметите.

Рассмотрите возможность запуска плагина безопасности

Если ваш веб-сайт — это ваш бизнес, нет никаких оправданий тому, чтобы не иметь какого-либо решения по обеспечению безопасности. Плагин безопасности может автоматически отслеживать попытки доступа и блокировать пользователей, которые кажутся вредоносными. Некоторые сети доставки контента также предоставляют эту услугу. Плагин безопасности также может отслеживать файлы и необработанный код вашего сайта и уведомлять вас, если что-то неожиданно изменилось. Если на вашем сервере внезапно начинают появляться новые файлы, скорее всего, ваш сайт взломан.

Получите свои темы и плагины из надежного источника

Репозиторий WordPress всегда является самым надежным местом для поиска тем и плагинов для вашего сайта. Поскольку все на веб-сайте WordPress.org бесплатно и с открытым исходным кодом, все плагины и темы там контролируются очень большим сообществом волонтеров WordPress. Однако во многих случаях вам могут понадобиться функции, недоступные в бесплатной теме или плагине, и в этом случае вам придется заплатить за программное обеспечение премиум-класса. Убедитесь, что кто-то проверил код и объявил его безопасным.

Удалите неиспользуемые темы и плагины

Каждую тему и каждый плагин, установленный на вашем веб-сайте WordPress, следует рассматривать как потенциальную дыру в безопасности, потому что именно это и делают хакеры — они постоянно исследуют каждый бит существующего кода WordPress и ищут уязвимости, которые можно использовать. Каждый раз, когда вы удаляете тему или плагин со своего сайта, вы устраняете потенциальную точку входа. Просмотрите плагины и темы вашего сайта и удалите все, что вы не используете. Также неплохо просмотреть ваши активные плагины и убедиться, что все они вам действительно нужны.

Найдите замену заброшенным плагинам

Прошло ли много времени с тех пор, как вы в последний раз видели уведомление об обновлении определенного плагина? Если это так, вы можете проверить журнал изменений плагина, чтобы определить, когда он последний раз обновлялся. Если функциональность плагина не слишком проста, вам следует считать, что он заброшен автором, если он не обновлялся более года или около того. В этом случае вам следует поискать плагин, который предоставляет ту же функциональность и по-прежнему активно обновляется. Дыры в безопасности могут скрываться в старых плагинах в течение длительного времени, прежде чем они будут обнаружены – и если плагин, в котором есть дыра, больше не будет обновляться автором, уязвимость никогда не будет исправлена.

Наймите разработчика для аудита старых плагинов и тем

Предположим, на вашем веб-сайте есть критически важный плагин, от которого отказался разработчик и который больше не обновляется. В этом случае вы сами должны убедиться, что плагин безопасен и не имеет уязвимостей. В этом случае было бы очень хорошей идеей нанять разработчика и поручить ему аудит плагина. Поддержание плагина может стать постоянными расходами, пока вы не найдете ему замену.