Начнем с того, что популярность среды wordpress, обусловленная простотой бесплатной реализации на его базе сайтов начального уровня, не дает конкурентам практически никаких шансов. Плох тот студент, который не сделал ни одного сайта на wordpress. Эта же простота, бесплатность и открытость исходного кода делает данный движок чрезвычайно интересным для взлома. Плох тот хакер, который не взломал ни одного сайта на wordpress.
На самом деле, вряд ли кому интересно заломать сам wordpress — команда его разработчиков постоянно работает над обеспечением его безопасности, выпуском обновлений и пр. Интерес хакеров заключается во взломе конкретных сайтов, получении от их владельцев выкупа (что редко) или использовании этих ресурсов в собственных целях (что чаще). Самое простое — рассылка спама.
Например, вы, ни с того, ни с сего, получаете сообщение от хостера с жалобой о рассылке спама. С чего вдруг? Личный блог — чисто для себя и тебе подобных. Какой спам? Вперед — на просмотр логов сервера, списка пользователей и их активности.
На самом деле ядро wordpress весьма стабильно и легко восстанавливается до исходной версии посредством удаления замусоренной версии и копирования новой с сайта разработчика. Необходимо сохранить папку wp-content. Именно здесь содержатся индивидуальные файлы с оформлением, загрузками и пр. Существенные дырки в безопасности сайта на wordpress обеспечивают плагины. Ограничьте свой сайт использованием старых, давно не обновляемых плагинов. Помните, их не ломает только ленивый. И все же, самым большим врагом сайта на wordpress, является его создатель.
Итак, перечень простых советов, которым нужно следовать для облегчения взлома сайта на wordpress:
- Используйте популярные логины для администратора сайта: admin, webmaster, super и подобные;
- Укажите в качестве отображаемого имени пользователя для администратора его логин;
- Используйте простые пароли для администратора: 123456, qwerty, admin и т.п;
- Нагрузите блог всевозможной массой давно не обновляемых плагинов.
Перечень простых советов, которым нужно следовать для усложнения взлома сайта на wordpress:
- Прочитайте вышеперечисленные 4 пункта и сделайте наоборот;
- Используйте защиту отправки форм на сайте с помощью графических и математических плагинов;
- Используйте плагин безопасности, например WP Cerber Security с блокировкой IP-адресов после некоторого количества неверных попыток авторизации.
- Настройте на хостинге резервное хранение файлов для возможности безболезненного отката к ранним верcиям.
P.S. Почему я написал этот пост?
А именно потому, что воспользовался верхними четырьмя неправильными советами и получил от хостера предупреждение о рассылке сайтом спама. Поражает тот факт, на сколько быстро левые страницы, появившиеся в результате стороннего вмешательства, появляются в индексе поисковых систем, то, как часто поисковики их сканируют и то, как долго этти страницы удаляются из индекса даже после того, как начинают возвращать роботам ответ 404.
Весьма интересно что последние несколько дней идут попытки авторизации по несуществующим логинам с адресов, расположенных на украине:
IP 178.137.80.38
Хост: 178-137-80-38.broadband.kyivstar.net
Город: Львов
Страна: Ukraine
IP диапазон: 178.137.64.0 — 178.137.127.255
CIDR: 178.137.64.0/18
Название провайдера: Kyivstar GSM
WP Cerber Security их успешно блокирует.
Второй множественный запрос:
IP 91.200.12.91
Хост: dedic693.hidehost.net
Город: Алчевск
Страна: Ukraine
IP диапазон: 91.200.12.0 — 91.200.15.255
CIDR: 91.200.12.0/22
Название провайдера: ANTN
Упорный робот с украинского адреса 178.137.80.28 продолжает подбирать пароль к несуществующим логинам.
Ну что же.. Закрываем для авторизации диапазон 178.137.64.0/18