Игра в «Ударь крота» с помощью WordPress Security

В наше время обеспечить безопасность веб-сайта (даже небольшого) становится все труднее. И если вы используете WordPress, у вас также может быть большое старое яблочко на спине. Между гнусными людьми и безжалостными ботами каждая минута каждого дня стала полем битвы.

Поистине ошеломляющая часть этого заключается в том, что вы можете делать все правильно и все равно получить взломанный сайт. Продолжайте и обновляйте свои плагины и тему. Запустите плагин безопасности или установите другие барьеры для входа. Делайте все это, и вы все еще можете оказаться в скомпрометированном положении.

Совсем недавно я убедился в этом для себя. Я помог коллеге с сайтом, который столкнулся с многочисленными проблемами, несмотря на то, что мы думали, что делаем все «правильно». Это вдохновило меня сесть и подумать об этом опыте. В связи с этим, вот некоторые мысли о том, что я узнал, и некоторые теории относительно дальнейших шагов, которые мы можем предпринять, чтобы лучше защитить веб-сайт WordPress.

Прошлое может преследовать вас

Ядро WordPress, плагины и темы имеют свои собственные недостатки безопасности. Ядро обычно исправляет быстро, в то время как вы надеетесь и молитесь, чтобы плагины и темы получили такое же лечение. Но, как мы видели, затыкать дыры не всегда достаточно.

Если ваш сайт был создан несколько лет назад, вы могли столкнуться с уязвимостями, о которых даже не знали. Может быть, они были исправлены ... или, может быть, нет. Даже если проблема была исправлена, ваш сайт вполне мог оставаться незащищенным в течение определенного периода времени, пока вы не установили исправление или полностью не удалили элемент. Что произошло между ними? Вы можете не узнать в течение довольно долгого времени.

Например, при просмотре проблемного сайта, о котором я упоминал ранее, в каталоге /wp-includes/ были обнаружены вредоносные файлы. Каждый из них был файлом .php, который имитировал имя и дату изменения других законных файлов в этом каталоге. Теперь, возможно, файлы были каким-то образом датированы задним числом, чтобы создать впечатление, что они были там все это время. Но если принять это за чистую монету, может показаться, что перед нами неактивное вредоносное ПО. Подобно компьютерному вирусу, который доставляет некоторую полезную нагрузку в определенную дату и время, этот вредоносный код мог «получить вызов» и начать действовать.

Дело в том, что потенциально неправильный плагин, установленный в неподходящее время, может доставить вам головную боль в будущем. Быть в курсе — отличная стратегия, но она не надежна. Простое наблюдение за горсткой плагинов, преднамеренно распространяющих вредоносный код в последнее время, показывает, что вы попали в ловушку-22.

Постоянно меняющийся пейзаж

Если бы меня спросили, думаю, многие из нас сказали бы, что сейчас мы лучше справляемся со своей работой, чем даже несколько лет назад. Мы учимся, развиваемся и применяем эти новые знания в нашей работе. Таким образом, наш выбор при создании веб-сайта также меняется. Инструменты и методы, которые мы используем, редко остаются неизменными из года в год.

WordPress и его экосистема проходят тот же процесс, но гораздо быстрее. Вчерашний обязательный плагин завтра может превратиться в пыль. Одно неуклюжее обновление может отпугнуть пользователей толпами.

Таким образом, сайт, который вы создали несколько лет назад и передали клиенту, вполне мог использовать плагины, которые вы и не подумали бы использовать сегодня. Как говорится в старой поговорке: «С глаз долой, из сердца вон».

Требуется определенная бдительность, чтобы убедиться, что вы не только используете последние версии, но и заменяете элементы, которые больше не являются лучшим выбором. К сожалению, такое постоянное внимание не всегда практично для многих дизайнеров. У нас не всегда есть время, а у клиентов не всегда есть бюджет, который можно выделить на это. Не говоря уже о том, что замена плагина в некоторых случаях может быть довольно сложной задачей. Тема может быть еще более сложной.

На самом деле все это похоже на гигантскую игру в «ударь крота». Иногда кажется, что ваша единственная защита — это стоять наготове с молотком в руке, готовый ударить следующего появившегося твари. Должен быть лучший способ.

Что еще мы можем сделать?

Поэтому мы регулярно устанавливаем обновления и принимаем дополнительные меры безопасности. Мы используем надежные пароли и стараемся максимально затруднить несанкционированный доступ к нашему сайту. Тем не менее, мы по-прежнему сталкиваемся с постоянными атаками, некоторые из которых проходят.

Я признаю, что я не главный специалист по безопасности. Но у меня есть некоторые мысли о дальнейших шагах, которые мы можем предпринять, чтобы очистить наши сайты от вредоносных программ и тому подобного. Возможно, некоторые из них немного неразумны, но я надеюсь вызвать дискуссию, а не спасти все человечество.

Аудит плагинов
Это то, что мы можем регулярно делать сами и фактически взимать плату с клиентов. Идея состоит в том, чтобы регулярно (возможно, 2-3 раза в год) проверять, какие плагины установлены, и отсеивать потенциально проблемные. Ищите плагины, которые считаются заброшенными (без обновлений в течение как минимум двух лет) или вообще удалены из репозитория плагинов WordPress. Затем производите замену по мере необходимости.

Доступ к более качественной информации
Еще лучше было бы создать крупномасштабную службу, которая информирует нас о том, какие плагины устарели/вредоносны/удалены. Разработчики и владельцы сайтов могли бы извлечь большую пользу, если бы у нас под рукой был такой ресурс. Простое знание того, что происходит в экосистеме WordPress, может помочь нам избежать дальнейших проблем.

Принимайте более разумные решения
Мы часто принимаем то, что считаем лучшим решением в данный конкретный момент. Но мы можем сделать лучше. Например, выбор плагина часто связан с поиском самого быстрого решения проблемы. Но самое быстрое решение не всегда самое лучшее. Проверка качества плагинов должна быть так же важна, как и их функциональность. Мы не всегда будем делать это правильно, но просмотр журналов изменений и форумов поддержки может сильно помочь в принятии решений.

Поймите игру
Когда мы запускаем только что созданный сайт, это не значит, что наша работа закончена. Чтобы обеспечить безопасность, мы должны продолжать обращать внимание на то, что происходит. Частично это может быть связано с использованием автоматических подключаемых модулей безопасности, которые отправляют нам электронное письмо, когда что-то не так. Но это также и ручной осмотр время от времени. Просмотрите панель инструментов WordPress, а также просмотрите файловую структуру сайта, чтобы найти что-нибудь подозрительное.

Проактивный хостинг
Я хотел бы думать, что большинство веб-хостов делают безопасность главным приоритетом. Но это не значит, что нет места для улучшения. По моему собственному опыту, хосты часто реагируют на проблемы уже после того, как они возникли. Я считаю, что мы могли бы извлечь выгоду из хостов, которые более активны в своем подходе к безопасности. Например, сообщая клиентам информацию о последних угрозах безопасности и о том, как защитить ваш сайт от них.

Обучайте клиентов
Наконец, важно обучать клиентов тому, что можно и чего нельзя делать с WordPress. Если они получают доступ к серверной части сайта, они должны знать о потенциальных рисках установки плагинов или предоставления информации о своей учетной записи другим лицам. Они играют большую роль в поддержании своего сайта в целости и сохранности.

Всегда цель

WordPress настолько широко используется, что неудивительно, почему он стал мишенью для хакеров. К сожалению, это то, что приходит вместе со всем этим большим успехом.

Из-за этого нам всем нужно повышать уровень безопасности. В идеале это означает регулярные проверки сайта и, самое главное, доступ к критически важной информации. Знания — ключ к решению любой задачи. Без него мы навсегда застрянем в этой карнавальной игре.