Взлом и защита WordPress


Как защитить WordPress от взлома.

Как разработчик, основной акцент в своей работе я всегда делаю на безопасность.

Взлом и защита WordPress

Взлом и защита WordPress

Поэтому эта статья, как и все остальные будет посвящена безопасности сайта, причем необязательно работающего, именно на движке WordPress. Сегодня не будет кода, а будет много человеко-понятных слов. Честно говоря я еще не знаю, вместится ли весь объем информации в одну статью, но даже если и нет, то у новых читателей моего блога, будет повод подписаться на обновления по email. 😉

Begin

В очередной раз, не открыв Америку хочу заметить тот факт, что для того чтобы взломать относительно не серьезный сайт, который обслуживает невнимательный администратор, совершенно необязательно быть кодером высокого уровня. Потому, как есть такое понятие: социальная инженерия (СИ) и связана она в большей степени с психологией человека, а точнее с ее уязвимостями. :)

Социальная инженерия и IT безопасность

И так как мы живем во времена интеллектуальной гипертрофии научно технического прогресса, то и сее ремесло понятие, достаточно агрессивно прогрессивно набирает обороты, ведь существуют даже специализированные книги (с примерами) на эту тему.

Самый простой пример социальной инженерии может выглядеть так:

Вам приходит письмо от администратора вашей хостинговой компании, в котором написано что:

В следствии непредвиденной хакерской атаки, часть БД включая backup была повреждена, и теперь нам необходимо проверить, то есть сверить информацию. :)

Стоит ли говорить,что [админ] хорошо подготовился и провел разведывательные мероприятия, с помощью Whois запросов и социальных сетей. Поэтому информация которой он обладает более чем актуальны, в которой имеются все необходимые данные включая электронную почту и реальный логин админа сайта. Вот только пароль неправильный, его то он и хочет сверить. Более того, вам даже могут позвонить по телефону.   :-P

Другим примером соц. инженерии могут являться вирусы классификации trojan.winlock, которые блокируют компьютер. Основной их целью является, такая природная эмоция человека, как страх. Страх потери информации, а в некоторых случаях и страх того, что все сотрудники офиса узнают, по каким интересным ссылкам кликал их однополчанин. И вот он уже бежит пополнять чей-то счет или переводит webmoney.

Для взлома аккаунтов соц. сетей тоже используется СИ, которая эксплуатирует  любознательность. Так злоумышленник ненавязчиво подбрасывает ссылку, при переходе  по которой пользователь попадает на фейковую  страницу в следствии чего у него блокируется доступ к сайту и он вынужден повторно вводить свой логин и пароль. Сразу после этого их можно смело менять.

Помимо страха, СИ может эксплуатироваться такая эмоция, как жадность. Ну уж извиняйте, чувством я не могу эту эмоцию назвать. Так недавно я узнал, что оказывается можно попасть в каталог DMOZ без очереди, и всего за 50 $.

Так, как защитить свой сайт или хостинг аккаунт от взлома?

К сожалению? Или к счастью, не существует универсального способа взлома и защиты Web сайта. И каждый отдельный случай является по своему индивидуальным. А если говорить о защите, то она должна быть, как минимум комплексной, а как максимум еще и многоуровневой.

Лично я для защиты админки WordPress, в комплексе с плагинами использую еще и файл локальной конфигурации Web сервера .htaccess. Почему?

Я могу дать несколько ответов на этот вопрос, но ограничусь пока одним.

Если взять во внимание тот факт, что на защите панели администратора стоит какой-то плагин, который блокирует вход по ip адресу после 3-5 неудачной попытки, и провести Brute-Force Password Attack не является возможным, то есть вариант взлома почты админа.

Взлом почты WordPress

Взлом почты WordPress

 А как ее узнать? Да очень просто.

Для этого достаточно подписаться на обновления сайта, или ответные комментарии по электронной почте.

А говорит это о том, что реальный email админа не должен светиться нигде. И лично у меня для восстановления пароля к админке и хостинг аккаунту используется отдельный почтовый ящик.

P.S. Ну и на этом, наверное пока все. Не забывайте обновлять движок и плагины WordPress. Почитайте внимательно, статью о уязвимостях WordPress, и  будте бдительны. 😉