Почему несуществующие плагины WordPress представляют угрозу и как защитить свой сайт

Давайте сразу проясним одну вещь: WordPress как недавно установленная CMS не особенно уязвима и остается сильным вариантом, если вы хотите создать безопасный сайт. Однако из-за популярности WordPress он часто становится целью хакеров, которые ищут доступ к популярным веб-сайтам. Тот факт, что взломы происходят довольно редко, является свидетельством работы, проделанной разработчиками и сообществом WordPress.

Проблема, которая часто приводит к уязвимости в установке WordPress, — это неправильное использование плагинов: в частности, использование плагинов, которые давно перестали обновляться. Почему эти плагины ставят под угрозу ваш сайт и как вы можете защититься от этого? В этом блоге мы попытаемся прояснить это и дать несколько советов.

Чем опасны устаревшие плагины

Каждый плагин, который вы добавляете на свой сайт WordPress (даже если это плагин, предназначенный для повышения безопасности), технически добавляет точку уязвимости. Это простая концепция: дополнительный код из стороннего источника (даже надежного) потенциально может сделать всю вашу систему еще более уязвимой. Современные стандарты безопасности довольно высоки, и веб-сайты должны тщательно охранять пользовательские данные, блокируя транзакции с помощью таких стандартов, как PCI . Всего одно слабое звено может разорвать цепочку и нанести непоправимый ущерб вашему сайту, бизнесу и репутации.

В большинстве случаев добавленный плагин не является проблемой, потому что он имеет свои собственные обновления безопасности, как и WordPress, и разработчик разработает патч вскоре после обнаружения проблемы. Однако это не всегда так. Когда плагин WordPress заброшен, последняя обновленная версия становится все более устаревшей и остается установленной во многих системах. Этот плагин может даже оставаться доступным для загрузки на WP.org, пока разработчик не вспомнит отключить его.

К счастью, решить эту проблему довольно просто: просто найдите плагин и отключите или удалите его . Обычно мы рекомендуем удалить плагин, а не отключать его, если только у вас нет веских оснований полагать, что он может быть обновлен в какой-то момент в ближайшем будущем. Вам также нужно быть осторожным с тем, как устаревший плагин взаимодействует с другими плагинами и вашим веб-сайтом, поскольку после удаления плагина могут возникнуть проблемы. Например, если вы удалите плагин, который ограничивает количество попыток ввода пароля пользователем, это может вызвать потенциальные проблемы с безопасностью, и вам нужно будет найти адекватную замену, если это необходимо.

Чем заменить нужный функционал

Если вы удалили устаревший плагин, но обнаружили, что он играет важную роль в повседневной работе вашего сайта, и не можете найти ничего подобного на рынке. Что вы должны сделать? WordPress дает вам свободу получать плагины из нескольких источников (не только из списков WP.org), но это может поставить вас в потенциально опасное положение при использовании этих плагинов.

Для большинства людей, особенно для тех, кто ведет свой бизнес в Интернете, ограничения современной модели SaaS кажутся утешительными. Например, использование размещенной CMS стало чрезвычайно популярным для сайтов электронной коммерции, поскольку оно предлагает хорошее сочетание параметров настройки и гарантированную безопасность. Несмотря на то, что в принципе вы можете делать больше с WordPress, такое разнообразие вариантов может сбивать с толку.

Если вы окажетесь в маловероятной ситуации, когда вы чувствуете необходимость удалить плагин и не можете найти жизнеспособную замену, чтобы заполнить этот пробел, у вас есть два реальных варианта решения этой проблемы. Либо наймите разработчика WordPress для программирования замены, либо попытайтесь воспроизвести функциональность, используя существующие системы (такие инструменты, как Zapier и IFTTT , можно использовать для достижения значительной автоматизации, если вы сможете справиться с ними).

Тщательный выбор плагинов

Важность опыта разработчика означает, что не все плагины одинаковы. Опыт разработчика, репутация и общая надежность — вот лишь некоторые из факторов, определяющих разницу между плагином, созданным известным разработчиком с твердой политикой монетизации . Хотя вам может не нравиться тратить деньги на плагины, платежи поддерживают разработчиков и позволяют им постоянно обновлять свое программное обеспечение. Это по сравнению с другими плагинами, которые вы можете использовать, которые были созданы любителем без особого намерения поддерживать его.

Самый разумный способ действовать — внимательно рассмотреть разработчика плагина, прежде чем устанавливать его и полагаться на него. Обязательно ознакомьтесь с их отзывами. Изучите их послужной список, когда дело доходит до ценности и последовательности обновлений. У них есть блог, за которым вы можете следить? Если вы остаетесь с разработчиками, которые получают прибыль от своей работы, вы можете быть уверены, что они продолжат обновлять и поддерживать плагин, что поможет снизить вероятность взлома вашего сайта с помощью устаревшего плагина.

Один из лучших способов обеспечить актуальность ваших плагинов — использовать UpdraftCentral . Этот мощный пульт дистанционного управления для WordPress позволяет вам не только централизованно управлять темами, плагинами и ядром на всем вашем сайте и обновлять их одним щелчком мыши, но также создавать резервные копии и контролировать все ваши сайты, на которых установлен UpdraftPlus, из одного центрального места в Облако. Если вы слишком заняты или у вас слишком много сайтов для надежного обновления, вы также можете использовать Easy Updates Manager . Эта служба автоматически поддерживает сайты в актуальном состоянии и не содержит ошибок.

Как обезопасить свой сайт

Даже если вы тщательно выбираете свои плагины, следите за устаревшими плагинами, которые не обновлялись какое-то время, и действуйте, чтобы удалить их, если это возможно, когда вы их обнаружите. Тем не менее, всегда будет некоторая потенциальная невидимая опасность, поскольку разработчик может перестать прилагать все усилия для обновления своих плагинов, что может привести к тому, что уязвимости останутся неисправленными, несмотря на выпуск обновлений.

Из-за этих потенциальных проблем с безопасностью вам необходимо сделать больше, чтобы обеспечить безопасность вашего сайта. Один из лучших способов сделать это — регулярно создавать резервные копии вашего сайта с помощью UpdraftPlus . Обязательно всегда создавайте резервную копию перед установкой или обновлением плагина и регулярно планируйте создание новых резервных копий, чтобы защитить себя от любых непредвиденных проблем. Если что-то пойдет не так из-за уязвимого плагина, вы можете использовать UpdraftPlus, чтобы вернуться к существующей резервной копии, после чего вы можете удалить плагин-нарушитель и продолжить работу в обычном режиме.

Таким образом, несуществующие плагины WordPress представляют собой угрозу, потому что они могут позволить уязвимостям проникнуть на ваш в остальном безопасный сайт WordPress. Чтобы оставаться в безопасности, будьте избирательны, будьте начеку, принимайте меры, когда это необходимо, и сохраняйте резервную копию своего сайта с помощью UpdraftPlus .

Родни Лоус

Пост «Почему несуществующие плагины WordPress представляют угрозу и как защитить свой сайт» впервые появился на UpdraftPlus. UpdraftPlus — Плагин резервного копирования, восстановления и миграции для WordPress.