Великий інтерес кіберзлочинців до WordPress пояснюється просто – на цій системі управління контентом (Content Management System, CMS) працює приблизно 40% всіх сайтів в інтернеті.
Проєкт має відкритий вихідний код, його можна використовувати безкоштовно, а налаштування і запуск сайту займають всього кілька годин навіть у людини, яка в житті не написала жодного рядка програмного коду.
Генеральний директор і засновник проєкту CrowdSec Філіп Хюмо розповідає, як захистити від кіберзагроз сайти на WordPress.
Епоха роботів
Кому потрібен мій маленький сайт з продажу в’язаних рукавичок? Невже хакерам нічим більше зайнятися, як сидіти і підбирати свої хакерські інструменти, щоб вкрасти його базу даних?
Звичайно, ні. Часи такої тонкої ручної роботи пройшли. Тепер хакери – проблема дійсно великих компаній, у яких є, що взяти. А ось магазинами з продажу рукавиць займаються роботи.
Автоматичні програми злому безперервно сканують весь простір IP-адрес в пошуках сайту, що містить відому уразливість.
І довго їм шукати не доводиться. Статистика показує, що будь-який конкретний IP-адрес в інтернеті може бути просканований такими роботами до 1000 разів на добу.
При виявленні уразливості робот проводить атаку. У мережі вони відбуваються кожні 14 секунд: ніякого авторського підходу, одні технології.
Що ми втрачаємо
Коли хакери зламують засновану на WordPress блог-платформу, скажімо, відомого інформаційного агентства Reuters, ця новина потрапляє в заголовки всіх світових ЗМІ.
Але що втратить цей світ від крадіжки бази даних невеликого магазину, який встиг продати всього дві пари рукавиць?
Тим більше можна все відновити з резервної копії та продовжити торгівлю. На жаль, не все так просто.
Знайдена хакером вразливість – ворота для будь-якого типу вторгнень: видалення сайту, шифрування його вмісту з подальшою вимогою викупу, перетворення його в «зомбі» для зараження комп’ютерів відвідувачів або отримання їх особистих даних і реквізитів банківських карт.
Останній варіант особливо небезпечний тим, що ви його навіть не помітите.
На WordPress зараз працює 40% сайтів: як розвивався сервіс
Метою зловмисників може бути тільки контроль трафіку сайту, але і цього досить, щоб завдати компанії збитків, кратних масштабу вашого бізнесу. А ще можна втратити домен, з якого, наприклад, розсилалися фішингові листи або віруси.
Здається, що правильно захистити сайт складно. Але в більшості випадків досить дотримуватися простих правил і використовувати безкоштовні інструменти, які може налаштувати будь-який веб-майстер середньої руки. Ось ці правила:
Правило 1. Організуйте резервне копіювання
Будь-системний адміністратор за хвилини налаштує сценарій автоматичного створення резервних копій і виділить для них місце на сервері.
Грубою помилкою тут може стати зберігання цих копій на тому ж сервері, де працює сам сайт.
Зламавши його, хакер з високою ймовірністю отримає доступ і до всієї інформації на сервері. Повністю зашифрувавши її разом з резервними копіями, він позбавить вас можливості відновити сайт і пред’явить свої вимоги.
Правила безпечного бекапа очевидні та легко реалізовані, просто не треба їх ігнорувати, наприклад, в поспіху.
Правило 2. Перевіряйте оновлення
Саме застаріла версія WordPress виявилася воротами, через які хакери проникли у велику міжнародну компанію – знамените інформаційне агентство Reuters.
За даними 2019 року, 49% всіх розгорнутих на сайтах копій WordPress на момент зараження мали застарілу версію.
Починаючи з версії 3.7 WordPress навчилася оновлюватися в повністю автоматичному режимі, але це не привід втрачати пильність.
Головним джерелом вразливостей в цій CMS є встановлені там плагіни і теми оформлення.
Зараз бібліотека таких плагінів вже містить більше 50 тис. найменувань.
Хто їх написав? Як ретельно він стежить за їх безпекою? Залишається тільки здогадуватися. Тому, перевіряючи поточну версію ядра WordPress, завжди перевіряйте актуальні версії всіх плагінів.
Правило 3. Використовуйте сертифікат SSL
Якщо у вас на сайті є платіжний шлюз для оплати покупок, значить і SSL-сертифікат у сайту є – така вимога банків.
Але цей SSL-сертифікат варто використовувати і в усіх інших випадках.
Висловлюючись простою мовою, він дозволяє браузеру користувача підтвердити справжність сайту і встановити з ним зашифрований канал зв’язку за протоколом HTTPS.
Такі сертифікати існують як для фізичних, так і для юридичних осіб. Перевіривши ваш сертифікат Company Validation (SSL CV), браузер, наприклад, буде знати, що ваша компанія дійсно існує.
Крім того, підтримуване SSL 256-бітове шифрування зробить для хакера завдання з перехоплення трафіку набагато складнішим.
Нарешті, наявність SSL є відмінним позитивним SEO-фактором.
Правило 4. Переходьте на SFTP і SSH
Використовуйте тільки захищені протоколи передачі даних. Звичний FTP передає дані по двох каналах: основному і командному. І обидва вони за умовчанням не захищені шифруванням.
У світі, де атака відбувається кожні 40 секунд, рішенням з «дитинства інтернету» вже не місце.
Якщо хакер організував нескладне перехоплення трафіку, то варто вашому системному адміністратору завантажити з сайту WordPress файл wp-config.php, як ваша CMS опиниться під повним контролем зловмисника.
Рішення проблеми ховається за двома абревіатурами: SSH (Secure Shell) і SFTP (SSH File Transfer Protocol).
Перша – криптографічний протокол, який дозволяє отримати безпечний доступ до сервера в незахищеній мережі.
SFTP використовує можливості SSH, щоб передавати і дані, і команди за єдиним зашифрованим каналом, стійким до злому.
Гарним доповненням до такого захисту стане утиліта SSHGuard, яка не дозволить хакеру зламати ваш обліковий запис SSH простим перебором паролів.
Правило 5. Ізолюйте бази даних
Один бізнес-проєкт може використовувати десятки однотипних сайтів, розрахованих, наприклад, на різні цільові аудиторії або підвищуючих видимість вашого бізнесу в пошукових системах.
Найпростіший спосіб налагодити роботу цих сайтів – використання єдиної для всіх бази даних. І це небезпечний шлях.
У разі злому будь-якого з сайтів – наприклад, за допомогою впровадження SQL-коду – хакер отримає доступ до всієї вашої інформації.
Щоб цього не сталося, бази даних необхідно ізолювати один від одного і створити для кожної з них власні унікальні облікові дані.
При цьому варто заодно відкликати і всі надлишкові права доступу, залишивши, наприклад, тільки читання і запис.
Правило 6. Блокуйте підозрілі IP
Хорошим способом блокування автоматичних атак є блокування IP-адрес, з яких надходять підозрілі звернення.
Перераховані вище заходи не вимагають залучення фахівця з інформаційної безпеки і запросто можуть бути реалізовані в повному обсязі звичайним системним адміністратором. До того ж, якщо не брати до уваги SSL-сертифікат, вони абсолютно безкоштовні. Стовідсоткової безпеки їх впровадження, звичайно, не забезпечить, але точно допоможе уникнути відчутного збитку через простий недогляд.