Загадки интернет-бизнеса

Что нужно знать о безопасности WordPress?

Добавлено: 18.10.2019

Категория: Интернет-бизнес

Просмотров: 200

Комментариев: 3

Что нужно знать о безопасности WordPress?

Узнайте несколько фактов, которые нужно знать, если вы решите выбрать WordPress. Так ли он безопасен в качестве инструмента создания сайта для интернет-бизнеса?

Если изложенное ниже слишком сложно для вас, откажитесь (пока) от WordPress или наймите профессионального администратора, который будет заниматься внедрением и обновлением:

  • практически каждый шаблон и каждый плагин создается независимой от разработчиков WordPress компанией для его текущей или более ранней версии;
  • плагины и шаблоны пишутся с использованием языка программирования PHP;
  • плагины и шаблоны имеют уязвимости, позволяющие запускать вредоносный код на сервере – либо автор был небрежным/недоучкой, либо использует популярную библиотеку с уязвимостью, о которой никто не знал;
  • некоторые функции PHP позволяют получить полный контроль над WordPress и базой данных MySQL. Например, eval () позволяет выполнять любой PHP-код. Если плагин написан плохо, хакер может прочитать, например, все параметры вашей конфигурации WordPress, подключиться к базе данных, загрузить данные из нее, изменить их и т.д.;
  • некоторые PHP-функции позволяют взять контроль над всем сервером – например, exec, которую используют отдельные плагины. С помощью такой функции можно скомпрометировать не только WordPress, но и все, что у вас есть на сервере, если он плохо защищен;
  • некоторые плагины генерируют кэш-файлы, и существуют (и будут дальше) плагины, позволяющие в виде файла кэша создавать php-файл, который выполнит ваш сервер, давая хакеру доступ к вашему WordPress или всему серверу в зависимости от уровня безопасности;
  • не все авторы плагинов обновляют их после очередного обновления WordPress;
  • обновление WordPress, которое повышает безопасность, иногда портит работу плагинов;
  • обновление плагина иногда портит работу других плагинов или всего WordPress, если его версия отличается от той, для которой был написан плагин;
  • обновления плагинов иногда создают новые уязвимости, делающие возможным выполнение вредоносного кода;
  • плагины и сам WordPress – это открытый код, который может анализировать каждый. И многие хакеры делают это, потому что атака на плохо настроенный WordPress – один из самых простых способов кражи данных;
  • поскольку неправильно настроенный/управляемый WordPress является легкой мишенью для атаки, каждая установка WP ежедневно подвергается автоматизированным атакам, нагружая ваш сервер. Хотя некоторые из этих атак можно отрезать, грамотно настроив сервер;
  • поскольку разработчики WordPress фокусируются на максимальном удобстве, они внедрили множество решений, которые создают серьезные риски в руках неопытного веб-мастера – например, автоматическое обновление или возможность редактирования php-файлов с помощью PHP-скриптов.

Что все это значит?

Если вы не веб-разработчик или не нанимаете программиста на постоянной основе, то WordPress, который вы устанавливаете, через несколько месяцев, вероятно, будет уже иметь серьезную уязвимость из-за:

  • отсутствия обновления WordPress ввиду несовместимости с плагинами/шаблоном, которые вам нужны;
  • отсутствия обновления плагина/шаблона ввиду несовместимости с WordPress, другими плагинами;
  • обновления плагина/WordPress до версии с уязвимостью и бездействия при следующем обновлении, ее устраняющем.

Эта уязвимость может позволить автоматизированным инструментам хакеров взять под контроль, зашифровать ваш WordPress-сайт или очистить его, т.е. удалить всю информацию.

Выбирая WordPress для создания сайта:

  • для начала установите WordPress на виртуальный выделенный сервер специализированного хостинга за 350-1800 рублей в месяц и регулярно оплачивайте проверку безопасности недавно обновленных или установленных плагинов и шаблонов;
  • или:
    • разместите его на другом сервере (другой физической или виртуальной машине), не содержащем других важных системных данных, особенно если вы не знаете, как профессионально защитить сервер;
    • автоматически создавайте резервные копии, хранящиеся на другом сервере;
  • профессионально защитите сервер, изменив его конфигурацию, а не с помощью плагинов и настроек WordPress. Правильная настройка сервера и PHP может заблокировать выполнение вредоносного кода, даже если плагин уязвим;
  • поставьте самодублирующуюся копию WordPress на локальную или самую слабую машину, на которой вы сначала будете устанавливать обновления и проверять, все ли работает;
  • откажитесь от плагинов и шаблонов, которые используют небезопасные функции типа eval или exec (и не только), или проверяйте в таких плагинах и шаблонах способ проверки данных, вводимых в эти функции.

Еще раз: я не отговариваю вас от WordPress. Просто нужно понимать, что устанавливая любой PHP-код на неправильно настроенном сервере, вы подвергаете этот сервер и все находящиеся на нем данные серьезному риску. А WordPress, из-за того, что поддерживает работу более 30% веб-сайтов, является самой популярной целью хакерских атак.

Некоторые хостинговые компании, особенно предоставляющие виртуальные серверы (VPS) и виртуальный (shared) хостинг, обеспечивают большую защиту от атак на сам сервер. Однако большинство VPS и выделенных серверов не защищены должным образом, поскольку они предназначены для профессиональных администраторов, которые будут делать это самостоятельно.

Хостинг-компании, кроме предлагающих платную установку WordPress, не защищают сам WordPress от атак на него. Вы должны сделать это самостоятельно, и не стоит полагаться только на плагины.

Итак, WordPress – это самый дешевый способ иметь как угодно выглядящий, расширяемый и сложный веб-сайт ... если вы программист, веб-мастер и администратор серверов. В любом другом случае то, что вы сэкономите на инструменте, необходимом для интернет-бизнеса, потратите на специалистов.

«Но я давно пользуюсь WordPress и не применяю эти меры безопасности!» – сказал человек, который не пристегивает ремень безопасности и пока еще не попал в аварию... Теперь вы хотя бы знаете, что используете. Решайте сами, подходит ли вам это.

Text.ru - 100.00%

Комментарии

Валерий Жемойтель
Валерий Жемойтель
18.10.2019 в 16:16 | ответить
А вы уже использовали WordPress для создания сайта? Не сталкивались ли вы с проблемами безопасности? Поделитесь своими мыслями и опытом...
Игорь Коровкин
Игорь Коровкин
19.10.2019 в 17:23 | ответить
Ну это всё из той темы, как в одной комнате пишут вирусы, а в соседней - антивирусы. Этот анекдот ходил про известную в России компанию, занимающуюся разработкой антивирусов ...
Валерий Жемойтель
Валерий Жемойтель
22.10.2019 в 13:43 | ответить
Это скорее про то, что без знаний и опыта в веб-разработке лучше не стоит начинать серьезный проект. Иначе вскоре можно оказаться у разбитого корыта :)
23144