Плагины безопасности WordPress — они вам нужны?
Опубликовано: 2023-03-24Поскольку Google выдает более 22 миллионов результатов для «плагинов безопасности WordPress» и более 1000 плагинов безопасности, перечисленных на официальной странице плагинов WordPress, нельзя отрицать их популярность. Но реальный вопрос заключается в том,действительно ли он вам нужен на вашем сайте для начала?
Благодаря одному только их названию и тому, что они рекламируются как способные сделать для вашего сайта, некоторые решения в этой области позиционируют себя как обязательные плагины для обеспечения безопасной работы WordPress.Предположительно, чтобы вы могли полностью перестать беспокоиться о безопасности.
Это далеко от реальности.
На самом деле, использование плохо построенного плагина безопасности WordPress может замедлить работу вашего сайта, добавляя функциональность, которая реально должна выполняться на сетевом уровне еще до того, как ваш сервер должен будет обработать запрос.
Итак, без дальнейших церемоний, давайте погрузимся прямо в.
Вам нужен плагин безопасности WordPress?
Каждый веб-сайт является потенциальной мишенью для злонамеренных хакеров — некоторые из них более опасны, чем другие. Это не секрет.
Системы популярного издания Fast Company недавно (на момент написания статьи)были взломаны кем-то, кто начал рассылать оскорбительные уведомления Apple News.
Люди, пытающиеся получить доступ к сайтам со злым умыслом, не обязательно нацелены на крупные компании. Малый и средний бизнес потенциально может представлять собой более легкую мишень, если они допустят это, возможно, в результате принимая меньше мер предосторожности.
Помимо хлопот, связанных с ситуацией, потерянного времени и потери дохода, который мог бы принести ваш сайт, пока он оставался недоступным, компании несут юридическое обязательство защищать информацию о клиентах. Это обязательство сопряжено с риском действий регулирующих органов.
Само собой разумеется, что никто не хочет быть жертвой нападения. Но учитывая, что глобальная экосистема сайтов WordPress была независимо оценена примерно в 635,5 миллиардов долларов США, неудивительно, что продажа обещаний безопасности оказалась хорошей возможностью для бизнеса.
Как хакеры атакуют сайты WordPress
WordPress имеет открытый исходный код, поэтому уязвимости, обнаруженные в ядре WordPress, а также в любых темах или плагинах, в конечном итоге становятся достоянием общественности. К сожалению, это может произойти до того, как WordPress сможет выпустить патч для уязвимости, создав окно возможностей для тех, у кого плохие намерения. Злоумышленники хорошо осведомлены об этой возможности, что позволяет им автоматически настраивать таргетинг на сайты, на которыхможетбыть запущена уязвимая тема или плагин, чтобы увидеть, что возможно.
Даже без этих уязвимостей люди и боты довольно часто используют атаки грубой силы, чтобы попытаться получить доступ к сайту. Это включает в себя повторную отправку нескольких запросов на вход в систему, чтобы идентифицировать учетные записи пользователей, которые используют стандартные или распространенные комбинации имени пользователя и пароля.
Существует множество возможных способов взлома сайта WordPress, поэтому так важен широкий подход на уровне сервера .Некоторые из наиболее вероятных рисков взлома включают следующее:
Атаки грубой силы : этот тип атаки включает в себя многократное использование различных комбинаций имени пользователя и пароля в попытке получить доступ к панели администратора сайта.
Внедрение SQL : этот тип атаки включает в себя внедрение вредоносного кода в базу данных веб-сайта, который затем можно использовать для кражи конфиденциальной информации или нарушения работы сайта.
Межсайтовый скриптинг (XSS) . Этот тип атаки включает в себя внедрение вредоносного кода на веб-сайт, который затем выполняется браузером пользователя.Это можно использовать для кражи конфиденциальной информации, такой как учетные данные для входа, или для перенаправления пользователей на вредоносный веб-сайт.
Внедрение файлов : этот тип атаки включает в себя загрузку на веб-сайт вредоносных файлов, таких как бэкдоры или вредоносное ПО.Эти файлы затем могут быть использованы для получения несанкционированного доступа к сайту.
Устаревшее программное обеспечение . Если веб-сайт не обновляется регулярно, на нем могут быть уязвимости, которыми могут воспользоваться хакеры.
Фишинг : этот тип атаки обманом заставляет пользователей предоставлять конфиденциальную информацию, такую как учетные данные для входа в систему, номера кредитных карт и другую личную информацию, создавая поддельную страницу входа.
Почему плагины безопасности — не лучший выбор
В силу того, как работают плагины, они работают только после того, как запрос достигает сервера. Это означает, что плагин безопасности может оспаривать вещи только на уровне PHP. Например, это может включать в себя логин с некоторым механизмом предотвращения возможного несанкционированного доступа после того, как сервер получил запрос.
Результатом этого, конечно же, является потребление дополнительных ресурсов сервера при каждом запросе к серверу, поскольку он находится между запросом и началом обработки вывода. Очевидно, это даже не защита от дурака: pluginvulnerabilities.com протестировал 31 плагин безопасности на предмет уязвимости нулевого дня, и только 6 из них смогли отразить атаку.
Плагины безопасности WordPress должны быть полностью загружены, прежде чем они смогут начать обработку трафика. Это означает, что эти плагины будут потреблять ресурсы, даже если ваш сайт не подвергается атаке .
Также нередко сами плагины безопасности WordPress имеют свои собственные уязвимости , и они также могут быть использованы хакерами.
Например, Wordfence, популярный плагин безопасности с более чем 4 миллионами пользователей, на протяжении многих лет сообщал о многочисленных уязвимостях, таких как межсайтовый скриптинг и нарушенный контроль доступа . Эти уязвимости были быстро исправлены, но это не меняет того факта, что системы были уязвимы, хотя и ненадолго.
Существует также опасность того, что подключаемые модули безопасности могут создать ложное ощущение безопасности .Раньше администратор сайта устанавливал популярный плагин безопасности, полагая, что он защитит их сайт от всех типов атак, пренебрегая другими важными мерами безопасности, такими как регулярные обновления программного обеспечения, надежные пароли, двухфакторная аутентификация. и резервные копии.
Еще одна проблема, с которой мы столкнулись, заключается в том, что подключаемые модули безопасности вызываютпроблемы совместимости с существующими темами или другими подключаемыми модулями.В некоторых случаях этот конфликт может привести к тому, что ваш сайт станет уязвимым для атак.
И также довольно часто возникаютложные срабатывания при использовании плагинов безопасности.Плагины с чрезмерной активностью могут помечать законные действия как вредоносные, что может привести к ложным срабатываниям и неудобствам для администраторов и пользователей.
Суть в том, что когда дело доходит до безопасности вашего сайта WordPress,нет плагина, который вы могли бы использовать, чтобы установить и забыть .Безопасность — это развивающийся, органичный зверь, который нуждается в постоянной бдительности.
Существуют ли какие-либо плагины безопасности, которые стоит использовать?
Так как же защитить сайт WordPress?
Во-первых, работайте с хостинг-провайдером WordPress, который обладает компетенцией в области безопасности, масштабирования и производительности — так, как это делаем мы в Servebolt. Мы делаем тяжелую работу, связанную с обеспечением полной безопасности базовой инфраструктуры ваших сайтов.
Кроме того, вы хотите, чтобы все вредоносные (и потенциально вредоносные) запросы были заблокированы еще до того, как они достигнут вашего сервера , прежде чем они получат возможность потреблять ресурсы, чтобы вы могли предоставить наилучшие возможности дляреальных посетителей веб-сайта.
Одним из примеров такого типа решения является Cloudflare. Cloudflare — это компания, которая предоставляет различные услуги интернет-безопасности, включая сеть доставки контента (CDN), систему доменных имен (DNS) и брандмауэр веб-приложений (WAF). Эти службы работают вместе для защиты веб-сайтов от нескольких форм кибератак, таких как DDoS-атаки, внедрение SQL и межсайтовый скриптинг (XSS). Cloudflare также предлагает дополнительные функции, такие как шифрование SSL/TLS, а также систему управления ботами для дальнейшего повышения безопасности веб-сайта.
В дополнение к этому подходу в Servebolt мы предлагаем две управляемые упреждающие услуги: Accelerated DomainsиServebolt CDN, которые могут усилить безопасность вашего веб-сайта.Они построены на основе предложения Cloudflare Enterprise, и мы предоставляем два бесплатных домена всем подписавшимся клиентам.
Мы используем как серверные продукты для обеспечения безопасности, так и надстройку над WAF от Cloudflare, когда это реализуется через нас. Мы добавляем дополнительные меры безопасности, чтобы уменьшить количество попыток взлома, а также предотвратить прямой доступ к серверу при использовании Cloudflare, чтобы уменьшить количество попыток взлома. Эти меры настроены на автоматическую блокировку потенциально опасных запросов и не требуют настройки или обслуживания .
Кроме того, некоторые плагины могут повысить безопасность вашего сайта, хотя они никоим образом не обеспечивают универсального решения:
- Two-Factor :этот плагин разработан командой WordPress и обеспечиваетдвухфакторную аутентификациюс использованием одноразовых паролей на основе времени (OTP, Google Authenticator), универсального 2-го фактора (FIDO U2F, YubiKey), электронной почты и проверки резервной копии. коды.
Если ваши учетные данные просочились в Интернет, ваш сервер может быть взломан, даже если большая часть вредоносного трафика заблокирована брандмауэром.Мы настоятельно рекомендуем использовать двухфакторную аутентификацию для сдерживания злоумышленников.
Альтернативой, которую мы используем в Servebolt, является Cloudflare Access .
- Patchstack &WPScan:сканер уязвимостей, такой как Patchstack или WPScan, может помочь в отслеживании уязвимостей. Например, WP Scan постоянно проверяет наличие угроз для вашего сервера по известной базе данных, содержащей более 37 000 уязвимостей, поддерживаемой специалистами по безопасности WordPress. Если угроза обнаружена, она может инициироватьуведомление по электронной почте или с помощью пользовательского веб-перехватчика со всей необходимой информацией и рекомендациями по устранению проблемы.
Советы по укреплению вашего сайта WordPress
Использование ускоренных доменов или CDN Servebolt защищает ваш сайт от многих известных атак. Они автоматически реализуют ограничение скорости входа и XML-RPC для защиты от злонамеренных атак грубой силы на странице входа вашего сайта. Но вы можете еще больше повысить свою безопасность, внедрив следующие дополнительные меры безопасности на своем веб-сайте.
Ограничение доступа к файлам
Каждый файл и папка на вашем сервере имеет связанные с ним права доступа, которые определяют, кто может читать, записывать и выполнять данный файл или каталог. Хотя наличие открытых разрешений на общедоступные ресурсы вашего сайта может показаться не таким уж большим делом, это определенно плохая практика. Кроме того, некоторые конфиденциальные файлы, такие как .htaccessиwp-config.php,должны быть надежно заблокированы.
Мы рекомендуем вам максимально заблокировать все конфиденциальные файлы и ненадолго ослабить эти разрешения только тогда, когда вам это абсолютно необходимо.
Для.htaccessвы должны изменить уровень разрешений на 644 — это предоставит владельцу файла доступ для чтения и записи, а все остальные пользователи смогут толькочитатьфайл.
Вы можете еще больше ограничить эти разрешения для файлаwp-config.php,установив режим разрешений на400 или 440, что означает, что только владелец (или, при необходимости, другие члены выбранной группы) может читать файл, в то время как изменения может сделать только пользователь root.
Давайте подробно рассмотрим требования к разрешениям для определенных каталогов WordPress:
- Корневой каталог WordPress (/):
Все файлы, кроме.htaccess, должны быть доступны для записи только вашей учетной записи — установите режим разрешений 644 для всех файлов, кроме.htaccess.
- Область администрирования WordPress (/wp-admin/):
Все файлы должны быть доступны для записи только вашей учетной записи — установите режим разрешений 644 для всех файлов.
- Логика приложения WordPress (/wp-includes/):
Все файлы должны быть доступны для записи только вашей учетной записи — установите режим разрешений 644 для всех файлов.
- Пользовательский контент (/wp-content/):
Этот каталог предназначен для записи как вами, так и процессом веб-сервера — установите режим разрешений 664 для всех файлов.
Однако в каталоге /wp-content/ вы можете найти:
- Файлы темы (/wp-content/themes/):
Если вы хотите использовать встроенный редактор тем, все файлы должны быть доступны для записи процессу веб-сервера. Если вам не нужно использовать редактор, то все файлы могут быть доступны для записи только вашей учетной записи пользователя.
- Файлы плагинов (/wp-content/plugins/):
Все файлы должны быть доступны для записи только вашей учетной записи пользователя. Однако некоторым сторонним плагинам может потребоваться доступ для записи. Мы рекомендуем вам удалить права на запись и предоставлять их только определенным плагинам в каждом конкретном случае.
Отключить выполнение файла PHP в выбранных каталогах
Вы можете еще больше повысить безопасность своего веб-сайта WordPress, ограничив выполнение файлов PHP в каталогах, где это не требуется.
Первое место, где вы должны отключить его, — это ваша папка/wp-content/,потому что пользователь может загрузить вредоносный PHP-скрипт и попытаться его запустить.
Вы можете отключить выполнение PHP, создав файл с именем.htaccessв нужной папке и вставив в него следующий код:
<Файлы *.php> отрицать от всех </файлы>
Приведенный выше код создает правило, запрещающее выполнение любых файлов PHP в указанном каталоге. Это означает, что даже если хакер внедрит вредоносный PHP-код в файл, он не сможет выполниться на сервере, что предотвратит повреждение вашего веб-сайта.
Отключить индексирование и просмотр каталогов
Просмотр каталогов — это функция веб-серверов, которая показывает все доступные файлы и каталоги в заданном каталоге веб-сайта. Когда эта функция включена, любой человек в Интернете может видеть все содержимое на любом пути веб-сайта. Это серьезный риск для безопасности, поскольку он может раскрыть конфиденциальную информацию и конфигурацию сервера.
Например, если кто-то зайдет на https://www.example.com/static , он сможет увидеть (и скачать) все файлы, находящиеся по этому пути. Настоятельно рекомендуется отключить эту функцию. Вы можете сделать это, добавив следующую строку в файл.htaccess.
Параметры - Индексы
Используйте Fail2ban, чтобы остановить атаки грубой силы
Fail2ban — это утилита для серверов, которая может динамически создавать правила брандмауэра для блокировки IP-адресов на основе предопределенного условия. Вы можете использовать его с WordPress, чтобы временно заблокировать пользователя, если он не может войти в систему 3 раза подряд.
Не используйте имя пользователя «admin»
Для хакера учетная запись с административными привилегиями эквивалентна драгоценностям в короне — учетная запись администратора может открыть все двери на сервере. Неудивительно, что это первая учетная запись, на которую нацелились хакеры. Рекомендуется использовать другое имя для этой учетной записи администратора, чтобы усложнить для них этот процесс и предотвратить любые атаки грубой силы.
Если вы все еще используете имя пользователя «admin», вам следует создать вторую учетную запись с другим именем и предоставить ей доступ администратора.Войдите в свою вторую учетную запись и удалите старую учетную запись администратора.
Ограничение прав пользователей базы данных
Безопасность базы данных имеет первостепенное значение для любого веб-сайта. При установке нескольких сайтов на свой сервер создайте отдельные базы данных и пользователей для каждого сайта. Из-за этого злоумышленникам становится сложнее получить доступ ко всей системе и украсть личную информацию.
Вы также должны правильно настроить привилегии учетной записи MySQL и отключить все ненужные функции, такие как удаленное TCP-соединение. Вы также можете ограничить попытки входа в систему, если пользователь базы данных не находится в белом списке. Например, вы можете заблокировать доступ к корневым соединениям, если соединение не было инициировано на локальном хосте.
Кроме того, WordPress нужны только права на чтение и запись в базу данных MySQL для обычных функций. Если вы предоставите пользователю базы данных только SELECT, INSERT, UPDATE и DELETE, все будет работать нормально. Однако иногда сторонние плагины и обновления WordPress могут вызывать ошибки при попытке изменить схему базы данных или создать новую таблицу. Внимательно прочитайте примечания к выпуску и документацию каждого подключаемого модуля, если вы используете эту меру безопасности.
Изменить URL-адрес wp-admin
Чтобы хакерам было сложнее запускать атаки грубой силы на ваш сайт WordPress, рассмотрите возможность изменения URL-адреса панели администратора по умолчанию на что-то неясное. Для этого вы можете использовать плагин, такой как WPS Hide Login или Change wp-admin login , который позволяет легко настроить URL-адрес для входа.
Отключить редактирование файлов
Функция редактирования файлов в WordPress позволяет администраторам редактировать файлы тем и плагинов напрямую с панели управления. Хотя это полезно при настройке сайта, это может представлять угрозу безопасности, если учетная запись администратора будет скомпрометирована. Отключение функции редактирования файлов снижает этот риск.
Это также уменьшит количество случайных правок и обеспечит более качественную документациюизменений, поскольку все новые версии будут отслеживаться системой контроля версий и должны будут пройти тестирование, прежде чем они будут опубликованы на сайте.
Чтобы отключить редактирование файлов в WordPress, вы можете добавить следующую строку кода в файл wp-config.php вашего сайта:
определить ('DISALLOW_FILE_EDIT', правда);
Изменение префикса базы данных
WordPress использует общую строку текста во всех именах таблиц, чтобы упростить идентификацию. Изменение этого префикса затрудняет для злоумышленников угадывание имен ваших таблиц при выполнении атак с внедрением SQL и других формах эксплойтов баз данных.
Хотя это может показаться небольшим и незначительным улучшением, большинство атак в Интернете выполняются автоматическими ботами, которые нацелены только на легкие плоды. Изменив значение по умолчанию, вы сможете защититься от большинства автоматизированных атак .
Ваш текущий префикс базы данных хранится в файле wp-config.php в корневом каталоге WordPress. Значение по умолчанию выглядит примерно так.
$table_prefix = 'wp_';
Вы можете заменить префикс «wp_» новым уникальным префиксом по вашему выбору. Имейте в виду, что вам разрешено использовать только буквы, цифры и символы подчеркивания. Например:
$table_prefix = 'мой_пользовательский_префикс_123_';
После сохранения изменений в файле wp-config.php вам потребуется вручную обновить существующие таблицы SQL новыми именами. Если вы не знаете, как это сделать, вы можете использовать такой плагин, как Brozzme DB Prefix .
Автоматический выход неактивных пользователей
Внедрение функции автоматического выхода из системы в WordPress может помочь повысить безопасность вашего сайта, автоматически завершая сеансы пользователей после определенного периода бездействия. Эта функция может помочь предотвратить несанкционированный доступ к вашему сайту, если пользователь забудет выйти из системы или оставит свое устройство без присмотра.
Чтобы реализовать функцию автоматического выхода из системы в WordPress, вы можете использовать такой плагин, как Inactive Logout . Это поможет защитить конфиденциальность пользователей, гарантируя, что конфиденциальная информация не будет доступна посторонним лицам.
Отчет о действиях — примите меры сегодня, чтобы защитить свой сайт и репутацию
Ежедневно взламываются 30 000 веб-сайтов , а с учетом того, что WordPress обеспечивает 43% сети, это означает, что 12 900 сайтов WordPress подвергаются серьезной угрозе каждый день.
К сожалению, доступные в Интернете советы, подробно описывающие, как обеспечить безопасность сайта WordPress, либо расплывчаты, либо устарели, либо просто неверны. Именно этот плохой совет, зависимость исключительно от сторонних плагинов и предположение, что как только безопасность установлена, вы можете забыть о ней, что приводит к столь многим из этих нарушений.
Хотя безопасность никогда не бывает «завершенной», она не должна быть головной болью, и большинство советов в этой статье довольно просты для большинства. Конечно, наличие сильной веб-хостинговой компании, которая серьезно относится к безопасности, является важным первым шагом для большинства.
Есть вопросы по обеспечению безопасности ваших сайтов WordPress?Не стесняйтесь связаться с нами, и мы будем рады рассказать вам, как Servebolt Cloud может помочь вам обеспечить максимальное удобство для ваших посетителей. Или, если это руководство уже ответило на все ваши вопросы и вы готовы попробовать подход Servebolt…
Заинтересованы в управляемом хостинге, который эмпирически быстрее? Попробуйте наш подход к хостингу WordPress :
- Масштабируемость: в реальных тестах рабочей нагрузки Servebolt продемонстрировал среднее время отклика 65 мс, что в 4,9 раза быстрее, чем второе место.
- Самое быстрое время загрузки в мире: среднее время загрузки страницы 1,26 секунды поставило нас на первое место в списке результатов глобального теста WebPageTest.
- Самая высокая скорость вычислений: серверы Servebolt обеспечивают невиданную ранее скорость работы с базами данных, обрабатывая в 2,44 раза больше запросов в секунду, чем в среднем, и запуская PHP в 2,6 раза быстрее, чем на втором месте!
- Идеальная безопасность и время безотказной работы: благодаря 100% времени безотказной работы на всех мониторах и рейтингу A+ за нашу реализацию SSL вы можете быть уверены, что ваш сайт в сети и в безопасности.