Если вы используете на своём сайте движок WordPress, очень важно быть в курсе всех потенциальных уязвимостей, которые существуют в этой CMS, особенно когда речь заходит об использовании плагинов.
Точно так же, как сохранность дома можно обеспечить, просто заперев замки, небольшие усилия могут иметь большое значения для обеспечения безопасности сайта на WordPress.
Рассмотрим три главных уязвимости, связанных с плагинами WordPress, и расскажем, как защититься от них, а также дадим общие советы по безопасности в интернете.
Скачивание плагинов из ненадёжных источников
Одна из главных опасностей при установке плагинов для WordPress кроется в том, откуда вы их скачиваете. Очень просто набрать в поисковике что-нибудь вроде «плагины для WordPress» и получить ссылки на тысячи сайтов, предлагающих качественные плагины. Проблема в том, что вы просто не можете знать, какие из них в самом деле безопасны и насколько им можно доверять.
Поэтому важно устанавливать плагины только из тех источников, которые вы знаете и которым вы доверяете на сто процентов. Не имеет значение, как хорошо вы обезопасили сайт от взлома извне, если вы сами своими руками устанавливаете на него вредоносный код.
Конечно, это не значит, что каждый сайт, предлагающий плагины для WordPress, хочет вас обмануть. Но если конкретный плагин не распространяется через каталог самого WordPress, стоит остановиться и изучить вопрос. Иногда имеет смысл связаться с разработчиками плагина (если это вообще возможно) и поинтересоваться, имеет ли сайт, предлагающий скачать его, какое-нибудь отношение к ним.
Поврежденный PHP-код
Есть множество разных способов, с помощью которых взломщики могут подделать плагины WordPress. Среди них произвольный просмотр и загрузка файлов, повышение привилегий, SQL-инъекции и удаленное исполнение кода (remote code execution — RCE). Все эти уязвимости создаются взломщиком, внедряющим код плагина, что позволяет ему оставаться незамеченным до тех пор, пока не станет слишком поздно. Когда угроза будет выявлена, взломщик уже получит доступ к вашей информации.
Загрузка nulled-плагинов
Nulled-плагинами (реже «обнулёнными плагинами»)называются пиратские версии плагинов, нелегально распространяемые через неофициальные каталоги бесплатно — в аналогичных случаях про приложения для компьютера говорят, что они «вылечены» от вопросов о лицензии.
Следует всячески избегать скачивания nulled-плагинов. В большинстве случаев они были так или иначе модифицированы — как минимум, чтобы удалить информацию об изначальном авторе, но также и для внедрения вредоносного кода или, например, для перенаправления вас или посетителей вашего сайта на другой сайт.
Однако если вы уже скачали nulled-плагин и хотите убедиться в его безопасности, существует несколько онлайн-инструментов (например, RIPS) для сканирования и проверки PHP-файлов на потенциальные уязвимости.
Проверьте установленные плагины WordPress
Если вы скачивали и устанавливали какие-либо плагины для WordPress, проверьте их по этому списку и убедитесь, что в используемых вами версиях нет известных уязвимостей. В противном случае немедленно деактивируйте и удалите такие плагины.
Используйте антивирус
Хотя антивирус вряд ли остановит серьезного взломщика, это всё же достаточно эффективная защита «первой линии». Помимо, собственно, установки антивирусного ПО на компьютер, не пренебрегайте регулярным обновлением как его самого, как и баз вредоносных программ, а также время от времени проводите сканирование. Получив доступ к компьютеру разработчика или администратора, злоумышленник может получить доступ и коду WordPress и плагинов на сервере.
Подумайте о VPN
Ещё один полезный инструмент в обеспечении безопасности — использование надёжного VPN-сервиса. Сервера таких сервисов расположены в разных точках мира, а все данные между ними и вами шифруются, так что никто не сможет перехватить эту информацию.