WordPress — одна з найпоширеніших, найпотужніших, найдоступніших та найпопулярніших систем управління контентом для веб-сайтів. Ідея створення бере початок з GNU/OpenSource платформи “b2/cafelog”, яку розробив на базі PHP та MySQL Мішель Валдрігі. У 2003 році цю ідею продовжили втілювати в життя американські програмісти Метт Мелловінг (засновник компанії “Automattic”) та Майкл Літтл. У процесі до них приєдналися: Ендрю Озз, Хелен Хоу-Санді, Діон Халс, Марк Яквіт, Ендрю Насін, Райан Борен, Петер Вествуд та інші розробники. Так постав WordPress.
Сьогодні ця платформа налічує величезне online-community з сотні програмістів і мільйонів користувачів по всьому світу. На CMS WordPress побудовано більше 40% усіх сайтів в інтернеті. Через таку популярність, WordPress регулярно стає об’єктом зламів і кібератак. За статистикою:
кожні 39 секунд у світі відбувається хакерська атака на CMS WordPress;
щоденно з’являються близько 300 000 тисяч нових шкідливих додатків;
у 2022 році середня вартість фінансових збитків від злому WordPress становила 150 мільйонів доларів;
75% зламаних компаній не займалися належним чином кібербезпекою і не готували свої сайти до атак;
90% зламів стаються через не оновлені застарілі версії ядра WordPress, вразливі теми і плагіни;
плагіни безпеки, двофакторна авторизація і шифрування є найбільшою перешкодою для кіберзловмисників.
Найрозповсюдженіші типи атак на CMS WordPress:
XSS/SQL/PHP-ін’єкції – впровадження шкідливого коду в базу даних через вразливі, динамічні URL-адреси та незахищені веб-елементи на сайті. Стають можливими завдяки відсутності HTTP-заголовків безпеки та фільтрації надісланого вмісту. В результаті цих атак на сайті можуть виникати нав’язливі popup-банери, діалогові вікна, приховані редиректи, беклінки і т.п.
LFI/RFI/RCE – завантаження шкідливих файлів (шеллів, бекдорів) на сайт, віддалене виконання зловмисного коду;
Brute Force – атака з перебором логінів та паролів з метою отримати несанкціонований доступ, здійснити незаконний вхід в систему (злам).
DOS/DDOS – атаки з надсиланням великої кількості хаотичних запитів з різних IP-адрес на сайт або сервер з метою викликати відмову в обслуговуванні (недоступність сайту для відвідувачів).
Black-Hat SEO – атаки з використанням заборонених методів пошукової оптимізації, наприклад спамдексінг, clickjacking.
MITM/Spoofing/Hijacking – атаки з перехопленням даних, несанкціонованою вбудовою і використанням контенту. Часто стають можливими завдяки відсутності TLS/SSL-шифрування на сайті.
Як захистити сайт WordPress від злому, вірусів і атак?
Захист сайту — це комплекс заходів, операцій, практик та методик з кібербезпеки, що застосовуються з метою запобігти будь-яким несанкціонованим діям (злому, вірусам, кібератакам, втратам і витокам даних), забезпечити цілісність, конфіденційність і доступність електронного ресурсу. Фахівці KR. Laboratories присвятили цьому питанню чимало часу. Перш за все, необхідно регулярно обслуговувати і оновлювати веб-сайт, підтримувати актуальними версії усіх компонентів – ядро, теми, плагіни WordPress. Встановлювати додатки лише з офіційного репозиторію. Вчасно усувати баги і технічні помилки, які виникають на сайті. Уміти правильно налаштовувати конфігурацію і права доступу. Завжди використовувати TLS/SSL-шифрування та захищене HTTPS-з’єднання. З детальнішими рекомендаціями можна ознайомитись в наших матеріалах Безпека сайтів на WordPress: поради, приклади, плагіни та Оптимізація кібербезпеки CMS WordPress.
В результаті тривалої роботи, нашими спеціалістами була розгорнута віртуальна пентест-лабораторія, на базі якої ми досліджували різні версії WordPress на вразливості, проводили тести на проникнення і підбирали стратегії кіберзахисту. Додатково фіксували для себе усі випадки зламу, які знаходили в Інтернеті або приймали через запити від відвідувачів.
У висновку, вдалось виробити концепцію кібербезпеки WordPress на базі кращих правил, вимог, рішень та методик (OWASP, SANS, MITRE, NIST, ISO/IEC, GDPR). Пропонуємо цілісну модель кібербезпеки з багатошаровим ешелонованим захистом. Нижче можна ознайомитися з усіма нашими послугами та сервісами.
Безпека і захист WordPress
Захист від Brute-Force атак
Захист адмінки WordPress (login page) від несанкціонованого доступу, підбору паролів і енумерації (bruteforce/enumeration). Підтвердження входу в панель адміністрування з допомогою капчі (Google ReCaptcha), запровадження багатофакторної авторизації (MFA/2FA).
Захист від SQL/PHP/XSS ін'єкцій
Фільтрація вхідних запитів та автоматичне блокування підозрілих і аномальних дій на сайті. Захист усіх веб-сторінок, URL-адрес, елементів сайту (зображення, поля, форми) від перехвату даних (MITM, spoofing, crosscripting, hotlinking, clickjacking) і зовнішнього (client-side) втручання (PHP/SQL/JS/XSS/XXE injections).
Захист від DDOS-атак
Захистимо сайт від DDOS-атак на усіх рівнях мережевої OSI-моделі. Приховаємо мережеві порти і адміністративні вузли. Переведемо сайт на DNS-обслуговування в CDN CloudFlare. Унеможливимо атаки на REST API, XMLRPC та WP-CRON. Заблокуємо шкідливий ICMP-пінг та HTTP-flood.
Захист від ботів і спаму
Трекінг і блокування IP-адрес за чорними списками (blacklists), фільтрація шкідливих ботів та спамерів (5G/6G firewall), захист форм від спамних і рекламних повідомлень. Захист від несанкціонованого парсингу. Обмеження доступу до сайту за геолокацією чи user-agent.
Сканування на вразливості
Аудит безпеки сайту на WordPress: пошук та виявлення вірусів і вразливостей в коді, ядрі, темах, плагінах та інших компонентах. Тестування безпеки DAST/SAST/IAST-сканерами: Acunetix Vulnerability Scanner, Owasp ZAP, BurpSuite, WPScan, NMAP, Nekto.
Захист від вірусів
Захист WordPress від шеллів, бекдорів, руткітів, троянів та інших шкідливих файлів. Блокування неавторизованого завантаження (LFI/RFI атаки) та перегляду файлів і папок (Directory listing), віддаленe виконання коду (RCE), встановимо чіткі правила доступу і привілегії користувачів (file permissions/role users).
Лікування і відновлення
Лікування від вірусів, шкідливого коду і редиректів (Malware Removal), відновлення зламаних сайтів. Знешкодження наслідків BlackHat SEO, видалення шпигунських JS-скриптів (spyware), очистка бази даних від ін'єкцій, видалення токсичних рекламних банерів (adware), стилерів і т.д.
Захист бази даних
Налаштування безпеки та контролю доступу до бази даних WordPress. Резервне копіюівання, проведення тестувань та ревізій. Зміна префіксу бази даних по замовчуванню. Оптимізація таблиць, очистка від застарілих записів, попередження шкідливих запитів до бази даних та покращення швидкодії.
Встановлення файєрволу
Встановлення і налаштування усіх необхідних плагінів безпеки WordPress, антивірусного сканера та файєрволу (WAF), які контролюватимуть роботу CMS, оберігатимуть системні файли і ядро від будь-яких сторонніх чинників, впливів і втручань.
Налаштування SSL та HTTPS
Встановлення надійного SSL-сертифікату та переведення сайту на захищене HTTPS-з'єднання. Налаштування HTTP Security Headers. Активація передачі даних по швидкісному протоколу HTTP/2/3. Включення GZIP/BROTLI кешування.
Моніторинг сайту 24/7
Цілодобовий моніторинг компонентів WordPress і файлової системи, аналіз будь-яких змін/подій, відстеження фонових процесів, хронологія дій користувачів. Читання log-файлів системних служб та сервісів. Сповіщення власника сайту про аномальні дії.
Оновлення і резервне копіювання
Актуалізація версії WordPress, регулярне оновлення тем, плагінів, скриптів. Видаленння застарілих, вразливих компонентів. Створення резервних копій файлів сайту і дампів бази даних.
⚡Чек-ліст безпеки WordPress
Сканування і тестування WordPress
Аудит відповідності: OWASP TOP 10, GDPR, PCI-DSS та ін.
Регулярно відстежуємо та звітуємо про загрози й кіберінциденти пов'язані з CMS WordPress. Завдяки синхронізації з численними базами даних MISP/CVE/CWE, отримуємо актуальну інформацію про нові вразливості першими. Усі сайти, які ми перевіряємо проходять аудит безпеки відповідно до кращих міжнародних стандартів: ISO/IEC, OWASP, SANS. NIST тощо.
Технічна підтримка 24/7
Ми любимо допомагати - це наше покликання та головна ідея. Наш моніторинговий і координаційний Incident Response центр працює в цілодобовому режимі, тож ви у будь-який час можете зв'язатися з нами, а ми максимально швидко вирішимо проблеми безпеки вашого сайту. Постійним клієнтам даємо безкоштовні поради і консультації. Приєднуйтесь до їх числа!
Якість І ПЕРЕВІРЕНІСТЬ
Усі ми - сертифіковані спеціалісти, інженери, аналітики, вже тривалий час працюємо з WordPress, а тому знаємо про сильні та слабкі сторони, переваги і недоліки цієї системи управління сайтом. Наш досвід допомагає нам якісно працювати над покращенням кібербезпеки CMS, а також займатися самостійною розробкою власних методології і концепції захисту WordPress.
Наші інструменти
Попередній
Далі
Як ми працюємо?
1 крок
Отримуємо заявку
Ви залишаєте заявку на нашому сайті. Наш спеціаліст зв'яжеться з вами та надішле електронний бриф, щоби краще зрозуміти ваші цілі, завдання, побажання та очікування від співпраці.
2 крок
Формуємо КП
На основі попереднього брифу, ми проводимо експрес-аудит безпеки та формуємо комерційну пропозицію для вашого проєкту. КП міститиме покроковий план роботи, терміни виконання та вартість робіт.
3 крок
Укладаємо договір
Укладаємо двосторонній договір, у якому прописуються будь-які деталі та умови виконання проєкту, фінансові взаємовідносини, технічні доступи, відповідальність і пункт про нерозголошення інформації (NDA).
4 крок
Складаємо ТЗ
Складаємо ТЗ і віддаємо його в роботу нашим фахівцям. За бажанням, ви можете відстежити виконання у таск-трекері або вести комунікацію у месенджерах.
5 крок
Реалізуємо проєкт
Наша команда працює згідно поставлених термінів виконання (дедлайнів). Ви маєте змогу відстежувати виконання та ставити запитання спеціалістам.
6 крок
Здаємо проєкт
Після того як всі роботи завершено і сайт пройшов етап перевірки та тестування, ми здаємо його вам, включаючи усі проєктні документи, доступи, звіти.