Сварливый дизайнер борется с вредоносным ПО для WordPress

Опубликовано: 2022-10-12

Хотя некоторые профессии со временем исчезают, потребность в веб-дизайнерах будет всегда. Почему? Потому что с каждым годом работа усложняется. Появляются новые обязанности, которые выходят за рамки досягаемости автоматизированных инструментов без кода.

Безопасность веб-сайта является ярким примером. Это всегда вызывало беспокойство – даже когда я встал на этот путь в середине 1990-х. В то время основной проблемой был взломанный пароль FTP или разгневанный бывший коллега, порча/стирающий файлы. В наши дни это намного больше. Что-то вроде надоедливого жука, превратившегося в огромного морского монстра.

И этот монстр полностью обвил своими щупальцами этого сварливого дизайнера. Работа превратилась в порочный круг заражения вредоносным ПО, очистки и повторного заражения. Затем повторите.

Основной целью злобы монстра является WordPress. Это не должно вызывать удивления, поскольку система управления контентом (CMS) постоянно подвергается атакам. Он поставляется с территорией питания более 40% сети.

К сожалению, я знаю, что я не единственный, кто столкнулся с таким фиаско. На этом я хотел поделиться несколькими разглагольствованиями, мыслями и предложениями о том, как вернуть этого монстра на место.

Быть осторожным недостаточно

Холодная реальность безопасности веб-сайтов заключается в том, что нет никаких гарантий. Практически каждый сайт может быть скомпрометирован вредоносными программами. Это случается даже с самыми осторожными из нас.

Применительно к WordPress осторожность означает помнить о нескольких основных моментах:

  • Проверка темы и плагинов, которые мы устанавливаем;
  • регулярное применение обновлений;
  • Использование надежных и сложных паролей;
  • Размещение сайта на сервисе, который серьезно относится к безопасности;
  • Обеспечение того, чтобы права доступа к файлам соответствовали рекомендациям WordPress;
  • Добавление дополнительных уровней защиты, таких как подключаемые модули безопасности и брандмауэры;

Хотя это еще не все, описанные выше действия обеспечивают прочную основу. Идея состоит в том, чтобы защитить от самых основных видов атак. Надеюсь, это также предотвратит некоторые более сложные попытки.

Разочаровывающий аспект этого подхода заключается в том, что вы настолько сильны, насколько сильно самое слабое звено в вашей безопасности. Даже авторитетные плагины могут содержать дыры в безопасности. И существует множество векторов, которые злоумышленник может использовать для создания проблем, включая те, над которыми мы не имеем прямого контроля.

Поэтому осторожности недостаточно, чтобы отразить каждую атаку.

Осторожный подход к безопасности WordPress — это хорошо, но никаких гарантий нет.

Устранение взлома — это утечка ресурсов

Несмотря на то, что предпринимаются шаги, чтобы избежать проблем с безопасностью, взломы все еще случаются. И когда они это сделают, уборка последствий может стать трудной задачей.

Этот процесс включает в себя идентификацию любых вредоносных файлов, включая законные файлы ядра WordPress, которые могли быть изменены. Сканеры безопасности, подобные тем, что есть в плагине Wordfence, могут помочь идентифицировать файлы, но есть оговорки.

Если учетная запись администратора сайта была скомпрометирована или злоумышленник использовал брешь в системе безопасности, чтобы получить доступ к панели управления WordPress, все ставки сняты. У них будет возможность деактивировать плагин безопасности. Оттуда они могли сеять всевозможные разрушения, оставаясь незамеченными.

Кроме того, определить, как вредоносное ПО попало на ваш сайт, редко бывает просто. Я не могу сосчитать, сколько раз я думал, что нашел виновника, только чтобы оказаться неправым после последующих заражений. Чтобы получить ответ, часто приходится рыться в файлах и изучать блоги по безопасности. Однако некоторые вопросы могут оставаться загадкой.

Это не только стресс для всех участников, но и мешает вам работать над другими проектами. Нарушение безопасности — это ситуация типа «все руки на палубе». Если вы фрилансер, то ваши руки неизбежно связаны с исправлением взломанного сайта.

Исправление вредоносных программ отнимает драгоценное время от других задач.

Что еще могут сделать веб-дизайнеры?

Как я уже упоминал ранее, мы можем контролировать очень многое. Веб-дизайнеры могут принимать обоснованные решения, но наши проекты все равно могут стать жертвами вредоносных программ. В некотором смысле ситуация кажется безнадежной.

Однако угрозы безопасности не исчезают. Во всяком случае, они будут продолжать расти в геометрической прогрессии. Это означает, что мы должны продолжать попытки.

Вот несколько стратегий, которые могут помочь:

Станьте минималистом плагинов

Хотя никогда не рекомендуется оставлять ненужные плагины WordPress установленными, это также может быть опасно. Вот почему стоит удалить все, что вам не нужно.

В некоторых случаях, возможно, стоит создать пользовательский плагин barebones, если это возможно. Вредоносные боты пытаются обнаружить известные уязвимости в ядре WordPress и определенных плагинах. Это может быть способом снижения риска при сохранении функциональности.

В любом случае, также неплохо быть в курсе того, что происходит с плагинами, которые вы устанавливаете. Убедитесь, что они регулярно обновляются, и старайтесь избегать тех, которые больше не поддерживаются.

Попросите клиентов инвестировать в безопасность

Безопасность может стать важной частью работы веб-дизайнера. Много работы уходит на укрепление веб-сайта и устранение любых возникающих проблем. Но наши цены не всегда отражают эту реальность.

Таким образом, имеет смысл просить клиентов инвестировать в эту область. Рекомендуя инструменты и услуги, связанные с безопасностью, вы активно добавляете дополнительные уровни защиты. А включив регулярные проверки безопасности в свои пакеты обслуживания, вы будете внимательно следить за тем, что происходит.

Еще одним преимуществом этой стратегии является то, что вы повышаете осведомленность о безопасности. Когда клиенты лучше разбираются в предмете, они с большей вероятностью будут принимать превентивные меры.

Составьте план уборки

Можно с уверенностью сказать, что никто из нас не хочет иметь дело со взломанным сайтом. Мы делаем все возможное, чтобы попытаться предотвратить это. И… это случается в любом случае.

Таким образом, лучше подготовиться к этому сценарию, чем прятать голову в песок. Разработайте процесс, который поможет вам эффективно очистить скомпрометированный сайт.

Не всегда это может сработать с первого (или со второго) раза. Но каждая неудача — хороший опыт. В конце концов, вы улучшите процесс и повысите свои шансы на успех.

Получите профессиональную помощь

Управление безопасностью веб-сайта грязное и разочаровывающее — достаточно, чтобы отправить любого из нас на терапию. Такого рода профессиональная помощь всегда приветствуется. Но это не то, о чем я говорю здесь.

Скорее я говорю о работе с профессионалами в области безопасности. Например, службы, которые помогают заблокировать веб-сайты ваших клиентов и избавить их от любых инфекций.

Это связано с затратами, которые вы можете переложить на своих клиентов. И это может просто спасти ваше здравомыслие в долгосрочной перспективе.

Есть дополнительные шаги, которые веб-дизайнеры могут предпринять для повышения безопасности WordPress.

Хаос вредоносного ПО — это новая норма

В некотором смысле защита веб-сайта похожа на игру в кошки-мышки. На каждый пробел, который вы закрываете, появляется еще один. Злоумышленники постоянно совершенствуют свои методы проникновения в WordPress и другие платформы. И никто из нас не застрахован.

Это усложняет нашу работу и отнимает много времени. И это также делает обслуживание сайта более дорогим для наших клиентов.

Конечно, это не то, что я себе представлял, когда начинал как веб-дизайнер. Маловероятно, что многие из нас попали в эту отрасль, потому что нам нравится очищать вредоносные программы. Но нравится вам это или нет, это новая норма. И мы последняя линия обороны от этого пресловутого морского монстра. Мы не можем позволить себе сдаться без боя.