Чому хакери полюють на мій сайт? Ч 1 “Як?”

Час читання: 3 хв.

Що б ви відчули, отримавши листа про те, що ваш сайт зламали і вам необхідно заплатити певну суму грошей, щоб повернути усе на свої місця? Або якщо ви, нічого не підозрюючи, відкриваєте свій сайт, а там замість домашньої сторінки висвітлено політичні лозунги якої-небудь терористичної кібер-армії?

Важко повірити, що з вами таке може статися. “Навіщо комусь потрібен мій звичайнісінький середньостатистичний сайт?”, думаєте ви. Але факт у тому, що хакери не мають жодних упереджень щодо розміру сайту або бізнесу, якому він присвячений.

Краще подбати про безпеку завчасно. Якщо ви прагнете збудувати надійний захист для свого сайту, то потрібно мислити як хакер. Визначте, які слабкі сторони має ваш WordPress сайт та як ними можна скористатись. Тільки тоді ви зможете правильно відбити атаки.

Вразливі місця WordPress сайту

Чи знаєте ви, що у більшості випадків, хакери не проводять години в інтернеті, вишукуючи свою майбутню жертву? За них цю роботу виконують боти, які спеціально налаштовані автоматично “винюхувати” слабкі місця сайтів. Вони виявляють незахищену шпаринку, через яку хакер проникає всередину сайту.

Щоб тримати хакерів та їх ботів на відстані, важливо ознайомитись із найбільш поширеними слабкими місцями в системі WordPress.

Пароль

Ви, напевне, помічали, що вбудований механізм захисту сайтів підказує вам, що обраний вами пароль недостатньо сильний. Ідеальний пароль складається з великих та малих літер, цифр, а також символів ! “? $ % ^ & ( ).

Але користувачі не завжди створюють унікальні та сильні паролі для кожного свого акаунту, і хакерам це добре відомо. Аби ваш пароль не став мішенню, намагайтеся зробити його складним та унікальним. Запам’ятайте просту істину: чим коротше і простіше пароль, тим швидше він зламується простим перебором (брутфорсом).

Коментарі

Хакерам навіть вдається зламати сайт WordPress, залишивши певний коментар. Не думайте, що ви зможете оминути це, якщо дозволяєте залишати коментарі тільки зареєстрованим користувачам. Через форму коментарів також надсилається багато спаму. Ось чому деякі власникиWordPress сайтів взагалі вирішують відключити коментарі.

Форма зворотнього зв’язку

Форма контакту, реєстрації, підписки, оплати і взагалі будь-яке місце на вашому сайті, яке вимагає від користувачів вводити свої особисті дані, дуже приваблює хакерів. Існують способи, за допомогою яких, хакери можуть вкрасти дані, проникнувши усередину сайту або навіть відслідкувавши натискання клавіш.

База данних WordPress

База даних WordPress складається із простих та зрозумілих таблиць, кожна з яких виконує свої функції. За замовчуванням, база даних має префікс “wp_”, його додано перед назвою кожної таблиці. Це робить базу даних WordPress повністю відкритою та вразливою для атаки. Найбільш поширений спосіб злому бази даних – це SQL ін’єкції. Вони засновані на впровадженні в запит довільного SQL-коду, як наприклад, прочитати вміст будь-яких таблиць, видалити, змінити або додати дані.

Ядро WordPress

Звісно, управління основними елементами WordPress не є вашою відповідальністю, над цим старанно працює команда безпеки WordPress. Та чи помічали ви, що з виходом нової версії публікується список знайдених і виправлених помилок в попередніх версіях?  Не кожен пересічний адмін цікавиться тими багами, але в руках хакерів цей список стає зброєю для злому сайтів зі старими версіями WordPress. Тому не баріться, слідкуйте за оновленнями та своєчасно натискайте кнопку “Update”.

Плагіни WordPress

Неможливо уявити багатофункціональний сучасний WordPress сайт без плагінів. Але саме через них відбувається понад 50% атак. Навіть популярні преміум плагіни можуть нести небезпеку.

Звичайно, не варто відмовлятись від використання плагінів, адже вони є невід’ємною частиною вашого сайту. Просто прочитайте відгуки та подивіться рейтинг, що залишили інші користувачів перед тим як завантажити їх. Також слід уникати плагінів, що відсутні в офіційній бібліотеці WordPress.org.

Загалом існує три способи, як плагіни можуть нашкодити вам:

  1. Коли розробник випускає нову версію, а ви своєчасно не оновлюєте плагін на своєму сайті;
  2. Коли ви несвідомо додаєте небезпечний плагін WordPress на свій сайт;
  3. Коли ви передаєте плагін на кастомізацію недосвідченим розробникам або взагалі шахраям і вони вносять шкідливе ПЗ.

Теми WordPress

Те саме стосується і тем WordPress. Обирайте перевірені теми та не забувайте оновлювати їх.

Робота хостинг-провайдера

На жаль, не всі хостингові компанії забезпечують надійну безпеку серверу. Якщо хостинг виявився ненадійним, то зазвичай страждає безліч сайтів, розміщених на одному сервері.

На що слід звернути увагу, коли обираєте хостинг-провайдера:

  • Серверний брандмауер і шифрування;
  • Веб-сервери NGINX або Apache;
  • Антивірусне програмне забезпечення;
  • Наявність сертифікатів SSL та CDN.

У наступній статті ми розповімо навіщо вони це роблять і дамо прості поради, що потрібно робити кожному власнику сайту, щоб захистити себе від атаки хакерів.