Защита вашего сайта WordPress от программ-вымогателей

WordPress — самая популярная CMS в мире. И хотя обычно это хорошо, это также может сделать WordPress мишенью для вредоносных программ, стремящихся к широкому охвату.

К сожалению, поскольку с годами кибератаки стали более масштабными и масштабируемыми, в долгосрочной перспективе зачастую вопрос не в том, «если», а в том, когда именно онлайн-бизнес подвергнется атаке. И широко разрекламированные успехи недавних атак программ-вымогателей означают, что эта тенденция, вероятно, сохранится.

При этом существует множество шагов, которые вы можете предпринять, чтобы сделать ваш сайт менее уязвимым для распространенных атак.

Понимание риска

Программа-вымогатель — это программа, которую злоумышленник устанавливает на ваш сервер или компьютер после использования эксплойта для получения доступа. После установки программное обеспечение часто запускается автоматически либо сразу, либо после того, как какое-то время находится в бездействии.

Еще пару лет назад атаки программ-вымогателей обычно были нацелены на рабочие станции Windows. Однако в 2017 году аналитики начали фиксировать рост случаев атак на сайты WordPress.

После запуска программы программа-вымогатель использует мощное шифрование, чтобы заблокировать все ваши файлы, лишив вас доступа. Вместо этого у вас остается интерфейс, требующий выкупа — обычно в биткойнах, которые невозможно отследить, — чтобы разблокировать файлы.

Оплата выкупа

В последние годы пострадал ряд крупных предприятий и даже городов по всему миру. В июне Лейк-Сити во Флориде заплатил выкуп в размере 500 000 долларов хакерам, взявшим под контроль их компьютерные системы.

Но уплата выкупа не гарантирует, что хакеры расшифруют ваши данные. И даже если они это сделают, они могут оставить части программного обеспечения, чтобы позже снова зашифровать ваши файлы.

В некоторых случаях программное обеспечение создает файл .php, содержащий интерфейс, который должен разблокировать зашифрованные файлы. Однако этот файл не работает, и даже если вы получите доступ, вам понадобится опытный разработчик WordPress, чтобы исправить весь неработающий код.

Держите все в курсе

Обновление WordPress и любых тем и плагинов до последних версий — это самый простой способ защитить ваш сайт от программ-вымогателей. Эти обновления содержат, среди прочего, последние исправления безопасности от разработчиков.

Хакеры постоянно ищут уязвимости, чтобы использовать их. После их выявления разработчики выпускают исправления для устранения проблем. Устаревшие версии WordPress представляют огромную уязвимость, поскольку они не были разработаны для защиты от новейших угроз безопасности.

Вам также следует регулярно проверять актуальность версий PHP и MySQL вашего хоста. Хорошее агентство WordPress позаботится о том, чтобы поддерживать все в актуальном состоянии для вас, так что вам не о чем беспокоиться.

Защита от атак грубой силы

Атака грубой силы, как следует из названия, представляет собой несложную атаку, при которой бот пытается получить доступ к вашему веб-сайту, используя сотни комбинаций имени пользователя и пароля в минуту, пока не добьется нужного результата.

Грубый характер этих атак позволяет относительно легко предотвратить их путем блокировки IP-адресов, которые пытаются получить доступ к вашему сайту несколько раз с неверными данными для входа. Но без этого простого уровня защиты боты могут постоянно пытаться получить доступ, пока не добьются успеха.

Limit Login Attempt Reloaded — это плагин, который позволяет ограничить количество попыток входа, как через страницу входа, так и через файлы cookie.

Установить строгую безопасность доступа

Как бы очевидно это ни звучало, использование коротких, угадываемых слов — или, что еще хуже, «пароля» — в качестве пароля сделает ваш сайт WordPress невероятно уязвимым.

Но даже надежные пароли, которые использовались слишком долго или для слишком большого количества различных приложений, могут стать уязвимыми. Мы рекомендуем использовать генератор паролей, такой как 1Password, для создания и безопасного хранения надежных уникальных паролей для каждого входа в систему.

Кроме того, вы можете добавить двухфакторную аутентификацию в свой логин WordPress с помощью Google Authenticator. Этот дополнительный уровень безопасности может быть включен для каждого пользователя, позволяя менее привилегированным ролям пользователей продолжать вход в систему с паролем.

Установить SSL-сертификаты

SSL-сертификаты гарантируют, что все данные, передаваемые между вашим компьютером и вашим браузером, зашифрованы, что значительно усложняет перехват соединения хакерами.

Управляемые хостинг-провайдеры WordPress, такие как WP Engine, включают автоматическую установку и обновление SSL-сертификата со всеми своими планами хостинга.

Изменить префикс базы данных WordPress

WordPress использует префикс базы данных по умолчанию, и использование этого префикса делает ваш сайт уязвимым для атак SQL-инъекций. Этого можно избежать, изменив префикс wp- по умолчанию на другое слово.

Если вы уже установили WordPress с префиксом по умолчанию, не волнуйтесь. Есть ряд плагинов, которые все еще могут позволить вам изменить его — просто сначала убедитесь, что вы сделали резервную копию всего, на случай, если что-то пойдет не так.

Отключить редактирование файлов

Если хакерам удалось получить доступ к вашей административной панели WordPress, они смогут редактировать любые файлы, которые являются частью вашей установки WordPress.

Таким образом, установка надежной защиты доступа является первой линией защиты. Однако, отключив редактирование файлов, хакеры не смогут изменить ни один из ваших файлов, даже если они получат доступ к вашей панели управления.

Это делается путем полного ограничения файла theme-editor.php и удаления параметра редактирования темы из CMS.

Дополнительные меры

Дополнительные меры безопасности включают в себя постоянное следование передовым рекомендациям по разработке, изложенным в Кодексе WordPress. В идеале вы также должны провести экспертную оценку своего кода, так как это помогает улучшить общее качество и может устранить любые пропущенные ошибки или уязвимости.

Вам также следует убедиться, что все формы на вашем веб-сайте защищены от SQL-инъекций и межсайтовых сценариев, а также отключить XMLRPC.

Простой способ повысить безопасность доступа — не дать хакерам узнать ваши имена пользователей, так как это означает, что им нужно найти только ваши пароли, чтобы получить доступ. Вы можете сделать это, удалив пользователя с именем «admin» и ограничив конечные точки WP-JSON по умолчанию, чтобы скрыть все другие имена пользователей.

Вы также можете обеспечить дополнительный уровень безопасности для своего сервера, запустив такое приложение, как Sucuri, которое постоянно сканирует уязвимости.

Регулярно делайте резервную копию вашего сайта

Одна из основных причин, по которой многие компании платят хакерам выкуп, заключается в том, что у них не было хороших резервных копий, а это означает, что стоимость выкупа будет меньше, чем потеря всех их данных.

И с резервными копиями, чем больше у вас есть, тем лучше. Атаки программ-вымогателей также могут зашифровать ваши резервные копии, если они хранятся на локальном диске. Вы можете создавать резервные копии своих данных на сервере, но удаленные резервные копии, хранящиеся в отдельном месте, еще безопаснее.

Управляемые хосты WordPress обычно предлагают резервное копирование на стороне сервера в рамках своих планов хостинга.

Вывод

Хотя вы, возможно, не сможете окончательно остановить все атаки, особенно если ваша компания стала мишенью, есть ряд шагов, которые вы можете предпринять, чтобы гарантировать, что ваш веб-сайт не станет легкой добычей для хакеров.

Масштабы и изощренность программ-вымогателей постоянно растут, но хакеры, как и большинство преступников, также являются авантюристами, и обеспечение того, чтобы ваш веб-сайт был менее уязвим, чем у большинства, по-прежнему является лучшим способом обеспечить безопасность ваших данных.

Если вы хотите обсудить безопасность вашего веб-сайта WordPress и способы ее улучшения, свяжитесь с нами.