10:47 Является ли WordPress безопасным? Вот что говорят данные

Является ли WordPress безопасным? Вот что говорят данные

By Anonymous Updated: 05 Oct, 2018

WordPress, безусловно, самый популярный способ создания веб-сайта. Эта популярность имеет несчастливый побочный эффект, также делая сайты WordPress сочной целью для злонамеренных актеров всего мира. И вам может быть интересно узнать, достаточно ли защищен WordPress для обработки этих атак.


Во-первых - некоторые плохие новости: каждый год сотни тысяч сайтов WordPress становятся взломанными.


Звучит мрачно, правда? Ну ... не очень, потому что есть и хорошие новости:


Хакеры не получают из-за уязвимостей в последнем программном обеспечении WordPress. Скорее, большинство сайты могут быть взломаны из полностью предотвратимых проблем, например, не обновлять содержимое или использовать небезопасные пароли.


В результате, отвечая на вопрос «является ли WordPress безопасным?», Требуется некоторый нюанс. Для этого мы рассмотрим несколько разных ракурсов:



  • Статистика того, как на самом деле взломаны сайты WordPress, вы понимаете, где уязвимы системы безопасности.

  • Как основная команда WordPress решает проблемы безопасности, поэтому вы знаете, кто несет ответственность и за что они отвечают за обеспечение безопасности.

  • Если WordPress безопасен, когда вы следуете передовым методам, вы знаете, что ваш сайт будет в безопасности.


Как сайты WordPress взломаны (по данным)


Хорошо, вы знаете, что многие сайты WordPress получают взломанный каждый год. Но ... как это происходит? Это глобальная проблема WordPress? Или это происходит от действий тех веб-мастеров?


Вот почему большинство сайтов WordPress взломаны, в соответствии с данными, которые у нас есть ...


Программное обеспечение с устаревшим ядром


Вот неудивительная корреляция от Sucuri's 2017 Hacked Website Report. Сукури посмотрел на все взломанные сайты WordPress, 39,3% израсходовало устаревшее основное программное обеспечение WordPress во время инцидента,


Взломанные веб-сайты

Взломанные веб-сайты (Источник изображения: Sucuri)


Поэтому сразу вы можете увидеть довольно тесную связь между взломом и использованием устаревшего программного обеспечения. Однако это, безусловно, улучшение более чем на 61% с 2016 года. 👏


Согласно базе данных уязвимостей WPScan, 74% известных уязвимостей, которые они регистрировали, находятся в основном программном обеспечении WordPress. Но вот кикер - версии с наибольшей уязвимостью возвращаются в WordPress 3.X:


Список известных уязвимостей WPScan

Список известных уязвимостей WPScan


Но, к сожалению, только 62% сайтов WordPress используют последнюю версию, поэтому многие сайты по-прежнему неоправданно уязвимы для этих эксплойтов:


Использование WordPress по версии

Использование WordPress по версии. (Источник изображения: WordPress.org)


Наконец, вы можете увидеть это соединение еще раз с основной уязвимостью WordPress REST API с февраля 2017 года, когда были сокрушены сотни тысяч сайтов.


WordPress 4.7.1 содержит множество уязвимостей, которые в конечном итоге были использованы для устранения этих сайтов. Но за несколько недель до того, как были использованы уязвимости, WordPress 4.7.2 был выпущен для устранения всех этих уязвимостей.


Все владельцы сайтов WordPress, которые не отключили автоматические исправления безопасности или иным образом быстро обновили WordPress 4.7.2, были безопасными. Но те, кто не применял обновление, не были.


навынос: Команда WordPress Security отлично справляется с решением проблем в основном программном обеспечении WordPress. Если вы быстро применяете все обновления для системы безопасности, маловероятно, чтобы ваш сайт испытывал какие-либо проблемы в результате основных уязвимостей. Но если вы этого не сделаете, вы рискуете, как только эксплойт выйдет в дикую природу.


2. Внеплановые плагины или темы


Одной из вещей, которые люди любят в WordPress, является головокружительный массив доступных плагинов и тем. Начиная с написания этого, в репозитории WordPress насчитывается более 56 000, а тысячи дополнительных премиальных, разбросанных по сети.


Хотя все эти возможности отлично подходят для расширения вашего сайта, каждое расширение является новым потенциальным шлюзом для злоумышленника. И хотя большинство разработчиков WordPress хорошо выполняют следующие стандарты кода и исправляют любые обновления по мере их появления, есть еще несколько потенциальных проблем:






  • У плагина или темы есть уязвимость, и, поскольку на нем не так много глаз, как основное программное обеспечение WordPress, эта уязвимость остается незамеченной.

  • Разработчик прекратил работу над расширением, но люди все еще используют его.

  • Разработчик быстро исправляет проблему, но люди просто не обновляют.


Итак, насколько велика проблема?


Ну, в опросе от Wordfence взломанных владельцев веб-сайтов более 60% владельцев веб-сайтов кто знал, как хакер попал в приписал его уязвимости плагина или темы.


Опрос веб-сайта Wordfence

Wordfence взломал опрос веб-сайта (Источник изображения: Wordfence)


Аналогичным образом, в докладе Sucuri за 2016 год, всего 3 плагина составили более 15% взломанных веб-сайтов, на которые они смотрели,


Sucuri взломал список плагинов

Sucuri взломал список плагинов


Вот кикер, хотя:


Уязвимости в этих плагинах давно были исправлены - владельцы сайтов просто не обновили плагин для защиты своего сайта.


навынос: Темы и плагины WordPress вводят подстановочный знак и Можно откройте свой сайт злоумышленникам. Однако большая часть этого риска может быть смягчена с помощью передовых методов. Обновляйте свои расширения и устанавливайте расширения только из авторитетных источников.


Мы также должны упомянуть эти клубы GPL, которые вы можете увидеть в Интернете, где вы можете получить любой плагин WordPress или тему за пару долларов. В то время как WordPress лицензируется под GPL, что является удивительным и одной из причин, по которым мы его любим, покупатель остерегается.


Покупка плагинов из клубов GPL означает, что вы доверяете сторонней стороне, чтобы получить последние обновления от разработчика, и много раз вы не получите поддержки. Получение обновлений плагина от разработчика - самый безопасный маршрут, Кроме того, мы все поддерживаем разработчиков и их напряженную работу!


3. Скомпрометированные учетные данные для входа в WordPress, FTP или хостинг


Хорошо, это не ошибка WordPress. Но нетривиальный процент хаков от злоумышленников, которые получают доступ к учетным данным для входа в WordPress, или учетные данные для учетных записей для веб-мастеров или учетных записей FTP.


В том же опросе Wordfence на атаки с использованием грубой силы приходилось ~ 16% взломанных сайтов, с учетными записями паролей, рабочих станций, фишинга и FTP, что делало небольшой, но заметный внешний вид.


Когда злоумышленник получает метафорический ключ от входной двери, не имеет значения, как иначе защищать ваш сайт WordPress.


WordPress на самом деле отлично справляется с этим, автоматически создавая безопасные пароли, но пользователям по-прежнему не нужны эти пароли, а также надежные пароли для хостинга и FTP.


навынос: Выполнение основных шагов для обеспечения безопасности учетных записей может помешать злоумышленникам беспрепятственно идти. Используйте / применяйте надежные пароли для всех учетных записей WordPress и ограничивайте попытки входа в систему, чтобы предотвратить атаки с использованием грубой силы (Kinsta-хостинг делает это по умолчанию 👍).


Для размещения учетных записей используйте двухфакторную аутентификацию, если она доступна, и никогда не храните свой FTP-пароль в виде открытого текста (как это делают некоторые программы FTP).


Если у вас есть выбор между FTP и SFTP (SSH File Transfer Protocol), всегда использовать SFTP, Это гарантирует, что никакие текстовые пароли или файлы данных не будут переданы. Мы поддерживаем только безопасные соединения в Kinsta.


4. Нападения цепочки поставок


В последнее время были случаи, когда хакеры получают доступ к сайтам через неприятный трюк, называемый атакой цепочки поставок. По сути, злонамеренный актер:



  • Приобретите ранее высококачественный плагин, указанный на WordPress.org

  • Добавить бэкдор в код плагина

  • Подождите, пока люди обновят плагин, а затем добавят бэкдор


Wordfence имеет более глубокое объяснение, если вам интересно. Хотя эти типы атак не являются широко распространенными, их труднее предотвратить, поскольку они возникают из-за того, что вы делаете (поддерживая обновление плагина).


С учетом сказанного команда WordPress.org обычно быстро обнаруживает эти проблемы и удаляет плагин из каталога.


навынос: Этого трудно предотвратить, потому что всегда полезно обновлять последнюю версию. Чтобы помочь, плагины безопасности, такие как Wordfence, могут предупредить вас, когда плагин удален с WordPress.org, чтобы вы быстро его устранили. И хорошая стратегия резервного копирования может помочь вам откатиться без какого-либо постоянного повреждения.


5. Бедная среда хостинга и устаревшая технология.


Помимо того, что происходит на вашем сайте WordPress, ваша среда хостинга и технологии, которые вы используете, также имеют значение. Например, несмотря на то, что PHP 7 предлагает множество улучшений безопасности по сравнению с PHP 5, только 33% сайтов WordPress используют PHP 7 или выше.


Использование PHP-сайта WordPress.

Использование PHP-сайта WordPress. (Источник изображения: WordPress.org)


Поддержка безопасности PHP 5.6 официально истекает в конце 2018 года. И более ранние версии PHP 5 не обеспечивали поддержку безопасности в течение многих лет.


Это означает, что использование среды хостинга с использованием PHP 5.6 или ниже скоро откроет вам потенциал уязвимых уязвимостей PHP без доступа.


Несмотря на этот факт, огромные ~ 28% сайтов WordPress все еще используют версии PHP под 5.6, что является огромной проблемой, если учесть, что в последнее время мы видели рекордные годы для количества обнаруженных уязвимостей PHP.


Помимо предоставления вам доступа к новейшим технологиям, использование безопасного хостинга WordPress также может помочь вам автоматически смягчить многие другие потенциальные уязвимости безопасности:



  • Брандмауэры веб-приложений

  • Автоматические обновления для выпусков безопасности

  • Двухфакторная аутентификация

  • Автоматическое резервное копирование


навынос: Использование защищенной среды хостинга и последних версий важных технологий, таких как PHP, помогает еще больше гарантировать безопасность вашего сайта WordPress.


Кто ответственен за безопасность WordPress?


Теперь вам может быть интересно, кто несет ответственность за борьбу со всеми вышеперечисленными проблемами?



Знаете ли вы, что 83% сайтов WordPress уязвимы для хакерских атак?






Сайты WordPress, размещенные Kinsta, автоматически защищены. Мы используем брандмауэры, контролируем время работы сайтов и уменьшаем любые атаки 24/7. Если ваш сайт взломан, мы исправим его бесплатно!





Ознакомьтесь с нашими функциями



Официально эта ответственность возлагается на команду безопасности WordPress (хотя отдельные участники и разработчики со всего мира также играют огромную роль в обеспечении безопасности WordPress).


Команда безопасности WordPress - «50 экспертов, включая ведущих разработчиков и исследователей безопасности». Около половины этих экспертов работают в Automattic. Другие работают в сфере безопасности веб-сайтов, а команда также консультируется с исследователями безопасности и хостинговыми компаниями.


Если вас интересует подробный взгляд на то, как работает команда безопасности WordPress, вы можете посмотреть 48-минутный разговор Аарона Кэмпбелла из WordCamp Europe 2017. Но в целом команда WordPress Security:



  • Обнаруживает и исправляет ошибки и потенциальные проблемы, используя, в частности, такие инструменты, как хакеры HackerOne

  • Консулы по всем выпускам WordPress


У команды безопасности WordPress есть политика раскрытия информации, которая означает, что после того, как они успешно исправили ошибку и выпустили исправление безопасности, они публично раскрывают проблему (это часть того, почему так много сайтов были разрушены в 2017 году - они все еще не применяли обновление даже после того, как команда безопасности публично раскрыла ошибку).


Что не делает команда безопасности WordPress, это проверить все темы и плагины на WordPress.org. Волонтеры просматривают темы и плагины на WordPress.org. Но этот обзор не является «гарантией того, что они свободны от уязвимостей безопасности».


Итак - защищен ли WordPress, если вы следуете лучшим практикам?


Если вы посмотрите на все приведенные выше данные и факты, вы увидите эту общую тенденцию:


В то время как нет системы управления контентом на 100%, WordPress имеет качественный механизм безопасности для основного программного обеспечения, и большинство хаков - это прямой результат веб-мастеров, не следуя основным рекомендациям по безопасности.


Если вы делаете такие вещи, как ...



  • Обновите основное программное обеспечение WordPress, плагины и темы.

  • Выбирайте плагины и темы с умом и только устанавливайте расширения от авторитетных разработчиков / источников.

  • Если у вас есть выбор между FTP и SFTP, всегда используйте SFTP.

  • Используйте надежные пароли для WordPress, а также хостинг и SFTP-учетные записи (и двухфакторную аутентификацию, если они доступны).

  • Храните свой собственный компьютер без вирусов.

  • Используйте сертификат TLS (HTTPS), поэтому вся связь с вашим сайтом WordPress (например, вход в вашу панель инструментов) зашифровывается. Kinsta предоставляет бесплатные сертификаты HTTPS!

  • Используйте ключи SSH. Это обеспечивает более безопасный способ входа на сервер и устранения необходимости в пароле.

  • Выберите хост с защищенной средой и используйте новейшие технологии, такие как PHP 7+.


... тогда WordPress безопасен, и ваш сайт должен оставаться без взлома как сейчас, так и в будущем. Если вы клиент Kinsta, вам также не нужно беспокоиться. Если случайно ваш сайт взломан, мы исправим его бесплатно!


Сообщение WordPress Secure? Вот то, что Data Says появилось впервые на Kinsta Managed WordPress Hosting.