Защита сайта на Wordpress от взлома
В большинстве случаев, владельцы сайтов об этом даже не догадываются о взломе, что может привести к :
Тут даже не имеет значения, пользуется ли ваш сайт популярностью или нет, его рано или поздно его попытаются взломать.
Печальная статистика уязвимостей по данным Positive Technologies (компания является одним из лидеров на рынке Европы и РФ)
*Подробно ознакомиться со статистикой можно тут
Скрытое содержимое.
Как видите:
~70% сайтов уязвимы к XSS (cross site scripting), многие кстати недооценивают опасность XSS, но ей можно не только красть куки для авторизации, но использовать ее для заливки шела, не напрямую конечно, но возможностей достаточно
~48% к sql injection, ~40% были уязвимы к подбору паролей и сдались
~55% Session Prediction, позволяет перехватывать сессии других пользователей
~40% Insufficient Authorization, дает доступ к информации без авторизации, например к части админ панели
~35% CSRF (Cross-Site Request Forgery), хакер сможет выполнять какие то действия на сайте от имени другого человека, например добавить нового админа или залить шел если админка позволяет, в wp конечно изначально есть защита от этого, но в некоторых случаях ее может не быть, плюс вместе с XSS при удачном стечении обстоятельств эту защиту можно обойти.
От себя могу еще сказать что в маленьких проектах которые пишутся с нуля очень часто, почти всегда, нет защиты от CSRF, об этом просто никто не думает а зря. И это касается всех дополнений для wp, их пишут сторонние люди...
Я сам лично, пока проводил исследование качал случайно несколько разных плагинов и каждый был уязвим. Хорошо если там будут просто какие то мелкие настройки, особо не влияющие на работу сайта, но что если там будет например возможно что залить свой файл или отредактировать уже существующий ? Все беда.
Это такие, наиболее опасные вещи из статистики.
Wordpress к слову тоже сделан на php, хотя конечно из в нем нет такого количества уязвимостей сейчас. WP популярен, его много и постоянно исследуют все кому не лень и это помогает.
Однако это не относиться к куче дополнений к движку, в большинстве случаев их пишут менее опытные программисты и уязвимостей там в разы больше, их постоянно находят и не всегда хорошие люди.
Почему так дешево ? Аудитория складчика располагает отдавать дешево, обычно скупают все по минимальным ценам, редко когда что то продается дорого.
490 руб. цена маленькая, это буквально раз пойти куда то поесть. По сравнению с аудитами безопасности сайтов, которые стоят от 10 до 90 000 руб (не буду рекламить ссылки, можете просто забить в яндексе "аудит безопасности сайта" и сами посмотреть), это совсем копейки. Хотя конечно, смотря кто и что делает, цены могут разниться еще больше. Даже просто почистить шаблон, сайт от вирусов стоит на фрилансе пару тысяч рублей, но там конечно никто не будет искать как туда попал вирус и латать дыры.
Но изучив материал вы конечно не станете опытным пентестером / специалистом по безопасности, у вас будет нужная база чтобы предотвратить большую часть атак на свои сайты.
Мы разберем с вами все аспекты работы от А до Я. Особый момент уделим защите wordpress движка. Хотя конечно большую часть можно перенести и на другие CMS по аналогии, но рассматривать все будем на примере wp. Выстроим защиту по максимуму из изначальных данных, сделаем так чтобы даже если кто-то чудесным образом сможет попасть в админку не сможет ничего сделать и еще много чего...
Кроме защиты рассмотрим так же что делать если вы уже заразились, варианты поиска шелов, удаления вирусов, бэкдоров, левых ссылок.
В общем если у вас есть сайт на wordpress или вы думаете завести сайт на wordpress то записывайтесь в складчину, материал будет полезен не только новичкам.
Есть ли у вас 100% уверенность, что ваши сайты в данный момент не взломаны или их не взломают, в то время, когда вы будете отдыхать?
В большинстве случаев, владельцы сайтов об этом даже не догадываются о взломе, что может привести к :
- С вашего сайта производится СПАМ-рассылка писем.
- В поисковой выдаче вы находитесь значительно ниже, чем должны быть или вообще отсутствуете, ваш сайт помечен как опасный.
- С вашего сайта продают ссылки и уводят посетителей.
- Пользователей вашего сайта заражают вирусами.
- Могут размесить дорвей (спамный контент) из за которого у вас потом долго будут проблемы с поисковыми системами.
- У вас крадут ваших клиентов и их личные данные.
- Ваши секретные данные уже давно известны вашим конкурентам.
Тут даже не имеет значения, пользуется ли ваш сайт популярностью или нет, его рано или поздно его попытаются взломать.
Каждое веб-приложение на PHP в среднем содержит 11 критически опасных уязвимостей. … (выдержка из статьи*)
Печальная статистика уязвимостей по данным Positive Technologies (компания является одним из лидеров на рынке Европы и РФ)
*Подробно ознакомиться со статистикой можно тут
Скрытое содержимое.
Как видите:
~70% сайтов уязвимы к XSS (cross site scripting), многие кстати недооценивают опасность XSS, но ей можно не только красть куки для авторизации, но использовать ее для заливки шела, не напрямую конечно, но возможностей достаточно
~48% к sql injection, ~40% были уязвимы к подбору паролей и сдались
~55% Session Prediction, позволяет перехватывать сессии других пользователей
~40% Insufficient Authorization, дает доступ к информации без авторизации, например к части админ панели
~35% CSRF (Cross-Site Request Forgery), хакер сможет выполнять какие то действия на сайте от имени другого человека, например добавить нового админа или залить шел если админка позволяет, в wp конечно изначально есть защита от этого, но в некоторых случаях ее может не быть, плюс вместе с XSS при удачном стечении обстоятельств эту защиту можно обойти.
От себя могу еще сказать что в маленьких проектах которые пишутся с нуля очень часто, почти всегда, нет защиты от CSRF, об этом просто никто не думает а зря. И это касается всех дополнений для wp, их пишут сторонние люди...
Я сам лично, пока проводил исследование качал случайно несколько разных плагинов и каждый был уязвим. Хорошо если там будут просто какие то мелкие настройки, особо не влияющие на работу сайта, но что если там будет например возможно что залить свой файл или отредактировать уже существующий ? Все беда.
Это такие, наиболее опасные вещи из статистики.
Wordpress к слову тоже сделан на php, хотя конечно из в нем нет такого количества уязвимостей сейчас. WP популярен, его много и постоянно исследуют все кому не лень и это помогает.
Однако это не относиться к куче дополнений к движку, в большинстве случаев их пишут менее опытные программисты и уязвимостей там в разы больше, их постоянно находят и не всегда хорошие люди.
Стоимость
Почему так дешево ? Аудитория складчика располагает отдавать дешево, обычно скупают все по минимальным ценам, редко когда что то продается дорого.
490 руб. цена маленькая, это буквально раз пойти куда то поесть. По сравнению с аудитами безопасности сайтов, которые стоят от 10 до 90 000 руб (не буду рекламить ссылки, можете просто забить в яндексе "аудит безопасности сайта" и сами посмотреть), это совсем копейки. Хотя конечно, смотря кто и что делает, цены могут разниться еще больше. Даже просто почистить шаблон, сайт от вирусов стоит на фрилансе пару тысяч рублей, но там конечно никто не будет искать как туда попал вирус и латать дыры.
Но изучив материал вы конечно не станете опытным пентестером / специалистом по безопасности, у вас будет нужная база чтобы предотвратить большую часть атак на свои сайты.
Мы разберем с вами все аспекты работы от А до Я. Особый момент уделим защите wordpress движка. Хотя конечно большую часть можно перенести и на другие CMS по аналогии, но рассматривать все будем на примере wp. Выстроим защиту по максимуму из изначальных данных, сделаем так чтобы даже если кто-то чудесным образом сможет попасть в админку не сможет ничего сделать и еще много чего...
Кроме защиты рассмотрим так же что делать если вы уже заразились, варианты поиска шелов, удаления вирусов, бэкдоров, левых ссылок.
В общем если у вас есть сайт на wordpress или вы думаете завести сайт на wordpress то записывайтесь в складчину, материал будет полезен не только новичкам.