Рейтинг статьи: 5,00 
Загрузка...WordPress – безоговорочный лидер в общемировом рейтинге CMS, опережающий все остальные движки с большим отрывом. Столь высокая популярность объясняется полной доступностью платформы и ее адаптивностью под любые задачи: от создания сайта визитки до полноценного магазина. За гибкость WordPress во многом отвечают плагины – программными дополнениями, при помощи которых расширяют возможности сайта. Выбирая из тысяч вариантов, можно добавлять на свой ресурс необходимый функционал – без знаний программирования, делая это буквально в несколько кликов.
Любой желающий имеет возможность написать свой плагин и загрузить его в репозиторий для общественного использования бесплатно или на платной основе. По такому принципу на сегодняшний день для WordPress создали более 47 тыс. самых разнообразных дополнений. Это дает много свободы веб-мастерам, но одновременно создает и определенные сложности, поскольку при всех преимуществах такой концепции, плагины являются главным источником потенциальных проблем для WP-сайтов.
Само ядро CMS очень надежно: его постоянно обновляют, тестируют на предмет уязвимостей и быстро фиксят трудами огромного WordPress-сообщества. В абсолютном большинстве случаев лазейкой для тех, кто хочет взламывать сайты, являются именно ненадежные плагины. Они менее активно тестируются на предмет уязвимостей, чем и пользуются недоброжелатели. Иногда дополнения преднамеренно заражают вредоносными скриптами, через которые в последующем взламываю сайт.
Каким образом чаще всего взламывают сайты на WordPress
Таким образом, первое что нужно запомнить, создавая свой проект на WordPress: грамотная работа с плагинами – это основа безопасности. Далее мы подробно разберем ключевые моменты, которые помогут избежать установки потенциально опасных дополнений.
Качайте плагины из официальных источников
Введя соответствующий запрос, поисковые системы предложат сотни сайтов, на которых присутствуют дополнения для WP. Скачивание плагинов из таких источников – самый короткий путь к потенциальным проблемам. Можно сколько угодно стараться защитить сайт от взлома, но все это не будет иметь смысла, если самому установить на него вредоносный скрипт вместе с сомнительным плагином. Безопасный источник для скачивания дополнений только один – официальный репозиторий на сайте WP. Отдельно отметим, что и там есть шанс попасться на расширение с вредоносным кодом, но вероятность такого сценария несопоставимо ниже.
Впрочем, многие все равно идут на риск и устанавливают дополнения из непроверенных источников. Как правило, это касается ломаных версий премиальных плагинов. В этом случае желание сэкономить, может обернуться серьезными проблемами. Но если вы все же скачиваете такие дополнения, внимательно читайте, что пишут о них другие веб-мастера и обязательно сканируйте на наличие вредоносных скриптов. Отдельно отметим, что все это нужно делать и при скачивании тем для WordPress (шаблонов внешнего вида сайта).
Проверяйте плагины даже из WP-репозитория
WordPress является движком с открытым исходным кодом – каждый может разработать плагин для этой CMS и опубликовать его в официальном каталоге. Поэтому от возможных неприятностей не застрахованы даже те, кто скачивает дополнения с сайта WordPress. Преднамеренно зараженные программы в репозитории встречаются редко. В большинстве случаев речь идет о продуктах с уязвимостями в коде, которыми и пользуются недоброжелатели.
Разработчики дополнений отвечают за поддержку своих обновлений и обратную связь с пользователями на официальном сайте WordPress. Поэтому обезопасить себя от установки потенциально опасного дополнения помогает определенный алгоритм действий. Первым делом обратите внимание на следующие параметры:
✓ обновляется ли плагин и как часто это происходит;
✓ сколько раз установили конкретное расширение;
✓ как активно поддержка реагирует на вопросы пользователей;
✓ внимательно ознакомьтесь с отзывами, и в первую очередь – с негативными;
✓ оцените общее соотношение хороших и плохих отзывов;
✓ проверьте, совместим ли плагин с актуальной версией CMS.
После такого весьма поверхностного анализа можно сделать важные выводы об уровне разработки конкретного плагина и его потенциальной безопасности. Но это только начало пользовательской верификации. Хотя, если по большей части вышеописанных пунктов появились вопросы, лучше сразу начать искать другой вариант плагина. Более того, в WP-репозитории очень много продуктов, которые фактически дублируют друг друга, функционально решая одни и те же задачи.
Проверяйте плагины в специальных черных списках
Возьмите за правило дополнительно проверять все WP-дополнения через базы данных уязвимостей: WPScan, ExploitDatabase или др. Здесь глобальное сообщество разработчиков делится всеми брешами, которые находит не только в плагинах и темах для WordPress, но и в самом ядре движка. Помимо проблем, обнаруженных в программных компонентах, здесь также можно проверить их статус: исправлены они или нет. Не лишним будет и в дальнейшем периодически мониторить все дополнения, установленные на сайте, через подобные сервисы. Естественно, помимо специализированных баз данных, ищите информацию об интересующем плагине в обычном поиске, и внимательно читайте, что пишут о нем другие веб-мастера.
Здесь нужно сказать, что потенциально опасные плагины это не только те, которые создают бреши в безопасности и увеличивают шансы на взлом. Некоторые дополнения могут приводить к проблемам с производительностью, например, нагружая базу данных и замедляя работу сайта. Ингода хостинг-провайдеры предоставляют список таких плагинов, не рекомендованных к установке.
Здесь не лишним будет сказать, что один из важных навыков при создании сайтов на WordPress – это уметь держать себя в руках и устанавливать только те дополнения, которые действительно нужны. Даже если отбросить вопросы безопасности, всегда актуально правило: чем меньше плагинов, тем быстрее и стабильнее будет работать ваш сайт.
Не забывайте обновлять плагины
Мы выяснили, что хороший плагин должен не просто впечатлять своим функционалом, а исправно поддерживаться разработчиками и постоянно обновляться. В свою очередь, задача веб-мастера – не забывать активировать эти обновления. На практике этим часто пренебрегают, особенно когда на сайте установлено много плагинов. Это еще один аргумент против их большого количества: если расширения не используются, смело удаляйте их, чтобы оптимизировать работу сайта.
Некоторые веб-мастера сознательно не обновляют плагины, боясь того, что они будут некорректно работать после апдейта. Такое действительно может случиться, но обновляться нужно обязательно. Ошибки несовместимости устранить куда проще, чем вычищать вредоносные скрипты, удалять вирусные ссылки и восстанавливать позиции в поиске, просевшие после взлома.
Выбирайте темы с предустановленными расширениями
Шаблоны для WordPress как и плагины можно установить бесплатно или приобрести по лицензии. Последние в большинстве случаев отличаются более продвинутым дизайном и функциональностью, но что важнее – имеют оптимизированную программную часть. Разработчики таких шаблонов стараются не утяжелять их фреймворками или библиотеками, благодаря чему сайт «заточен» на более быструю и производительную работу.
Помимо этого в премиум-шаблоны, как правило, интегрируют базовый набор самых важных плагинов. Благодаря тому, что дополнения изначально пишутся под конкретную WordPress-тему, они имеют оптимизированный код, который не создает лишней нагрузки, исключает конфликты с ядром CMS и постоянно обновляется вместе с самим шаблоном.
Используйте антивирус везде, где есть возможность
Сканирование антивирусом – весьма эффективная защита так называемой «первой линии». Это значит, что использование одного только антивирусного ПО не гарантирует защиту от взлома, но в рамках общей концепции безопасности такой скрининг является важной составляющей. Давайте разберемся по порядку, что и как сканировать.
В первую очередь речь идет о самом сайте. Для этого используют все те же плагины. Это могут быть т.н. инспекторы аутентичности, которые сопоставляют содержимое сайта с оригинальным кодом и при обнаружении несоответствий, отправляют отчет. Другие плагины-антивирусы работают по классической схеме: ведут собственный список известных угроз и оповещают администратора, если находят совпадения при сканировании ресурса. Некоторые дополнения могут работать в режиме сетевого экрана, что существенно укрепляет защиту сайта.
Популярные WP-плагины для обнаружения вредоносных скриптов:
✓ Wordfence
✓ Anti-Malware
✓ Sucuri Security
✓ Theme Authenticity Checker
✓ AntiVirus для WordPress
✓ Exploit Scanner
✓ Quttera Web Malware Scanner
Помимо внутренней безопасности сайта большое значение имеет обслуживание серверной части. Именно поэтому при выборе хостера важно не гоняться за самой привлекательной ценой, а разворачивать свои проекты у надежных провайдеров, которые не держат на серверах сомнительные сайты и систематически сканируют оборудование на предмет вредоносного кода.
Вам также может быть интересно:
Все, что нужно знать о влиянии хостинга на SEO. Как выбрать, что проверять, когда переезжать
Для обеспечения комплексной безопасности сайта устанавливайте надежный антивирус в том числе и на свой компьютер, при этом не забывайте постоянно обновлять его. Это наименее популярная лазейка для тех, кто хочет навредить вашему сайту. Тем не менее, имея доступ к компьютеру администратора или разработчика, недоброжелатель может добраться и до кода WordPress.
Используйте последнюю версию PHP
Движок WordPress функционирует на PHP. Подобно самой CMS и плагинам язык программирования время от времени обновляется. Сам PHP работает на стороне сервера и использование его устаревшей версии может повлечь определенные риски для безопасности. Также новые версии отвечают за быстродействие сайта, его масштабируемость и другие функциональные фишки. Именно поэтому при выборе хостинга необходимо обращать внимание, какие версии PHP поддерживает платформа. Часто провайдеры предлагают возможность самостоятельного выбора нужного PHP-аккаунта в панели управления хостингом.
Еще один немаловажный плюс, который получают с последней версией PHP, – возможность отсеять потенциально небезопасные плагины. Перед обновлением сайта до актуальной PHP-версии, разработчики обязательно проводят тестирование совместимости, чтобы убедиться в отсутствии программных конфликтов с установленными плагинами и темами. Если текущие дополнения не проходят такую проверку, вероятнее всего они больше не поддерживаются своими разработчиками и лучше начать искать им замену. Таким образом, внедряя последние PHP-обновления, администратор усиливает не только производительность, но и безопасность своего сайта.
Избегайте установки nulled-плагинов
Nulled-плагины – это пиратские версии премиальных WP-расширений, которые бесплатно скачивают через неофициальные каталоги. Такие обнуленные дополнения несут потенциальную опасность и не рекомендованы к установке, даже если вы качаете из проверенных источников, а их безопасность подтверждают другие веб-мастера. Обнуление программного компонента в любом случае связано с модификацией его PHP-файлов. Даже если плагин был «сломан» из добрых побуждений, нет никаких гарантий, что в дальнейшем кто-то не найдет в нем уязвимостей и не воспользуется ими. С расширениями, у которых нет поддержки и обновлений, это случается часто. К тому же не лишним будет напомнить, что с обнуленными плагинами теряется доступ ко всем новым функциям и возможностям, которые периодически внедряют разработчики.