Как взламывают сайты?

Как владелец веб-сайта WordPress, вы уже знаете, что безопасность играет большую роль в защите ваших операций от взломов и вредоносных атак. Но как именно взламывают веб-сайты? Каков процесс, с помощью которого хакеры пытаются и часто успешно уничтожают сайты WordPress с помощью своих атак?

Несмотря на то, что сеть за последние несколько десятилетий выросла как на дрожжах, мало что изменилось в том, как злоумышленники взламывают веб-сайты. И самое главное, что вы должны сделать, чтобы обеспечить безопасность своего сайта и посетителей, — это полностью понять, что такое неизменные трасты, чтобы вы могли быть на шаг впереди них.

В этом подробном руководстве мы расскажем вам, как именно взламываются веб-сайты, каковы признаки того, что ваш сайт был взломан, и многое другое. Давайте взглянем.

Огромный масштаб взломанных веб-сайтов

Более 1,2 миллиарда (с B) веб-сайтов в настоящее время составляют сегодняшнюю версию Всемирной паутины. А если предположить, что среднее время загрузки веб-сайта составляет 3 секунды, вам потребуется более 160 лет, чтобы посетить каждый существующий сайт, не тратя ни секунды на отдых.

Это безумно массивная паутина, за которой никакая отдельная сущность совершенно не может безопасно следить. Хотя такие службы, как Safe Browsing от Google, пытаются предупредить своих пользователей о сайтах, которые могут быть небезопасными. В настоящее время он доставляет пользователям более 3 миллионов таких предупреждений каждый день.

И это примерно столько же, сколько население Лос-Анджелеса и Нью-Йорка вместе взятых.

Проще говоря, веб-сайты всегда будут большой мишенью для людей с плохими намерениями. И общее воздействие любого взлома будет разрушительным для вашего бизнеса.

Но есть и хорошие новости.

Несмотря на то, что существует большая вредоносная и постоянная угроза, наша осведомленность о нас в сочетании с использованием правильных инструментов будет иметь большое значение для обеспечения безопасности наших сайтов от атак.

Как взламывают сайты? 3 основных пути

На протяжении последних трех десятилетий существования Интернета мы видим, что хакерские атаки почти всегда попадают в три разные категории:

1. Контроль доступа
2. Уязвимости программного обеспечения
3. Сторонние интеграции

Реальность такова, что не имеет значения, управляете ли вы сайтом для Fortune 500 или местного обувного магазина, то, как хакеры подходят к своему делу, будет выглядеть почти одинаково.

Но что действительно различается, так это то, как каждый бизнес в отдельности позволяет эксплуатировать себя в первую очередь.

• Крупные организации часто используют предлог, говоря: «Мы думали, что безопасностью занимается кто-то другой». Этот тип тумана и недопонимания распространен в крупных и сложных организациях.
• Малые предприятия часто считают, что они слишком малы, чтобы хакеры могли на них нацелиться. Они часто ошибочно полагают, что хакеры их не тронут. Это позволяет легко упустить из виду, сколько личной информации действительно можно получить даже с самого маленького веб-сайта.

В обоих таких случаях у хакеров есть стимулы и инструменты для достижения своих целей в областях, где безопасность не особенно бдительна.

Среда веб-сайта имеет большую активность

Прежде чем погрузиться в спецификации каждого типа взлома, давайте сначала заложим невероятно важную основу того, как на самом деле работает Интернет.

Каждый веб-сайт опирается на ряд систем, которые взаимосвязаны и работают вместе. Существуют такие компоненты, как DNS (серверы доменных имен), веб-сервер и инфраструктура, в которой размещены ваши различные серверы и которая соединяет их с Интернетом.

Даже если это звучит относительно просто, лежащая в основе экосистема довольно сложна.

Поэтому многие отдельные компоненты предоставляются специализированными поставщиками услуг. Даже если вы получаете несколько различных услуг от одного поставщика услуг, все равно существует бесчисленное множество уникальных частей уравнения, которые функционируют сами по себе.

Думайте о своем веб-сайте как о современном потребительском транспортном средстве. Снаружи он выглядит прочным и обтекаемым, но внутри находится бесчисленное множество движущихся частей, благодаря которым все это работает.

Для целей этого руководства не важно, чтобы вы понимали все детали работы вашего сайта. Но важно знать, что каждый из этих отдельных компонентов повлияет на общую безопасность вашего сайта WordPress.

И каждый из них может способствовать взлому вашего сайта.

1. Контроль доступа

В частности, это касается процесса авторизации и аутентификации. Проще говоря, контроль доступа — это то, как вы входите на свой сайт WordPress.

И это выходит за рамки простого входа в панель администратора вашего сайта. Как мы уже установили, существует множество различных взаимосвязанных логинов, которые работают вместе за кулисами вашего сайта.

Размышляя об управлении доступом, необходимо учитывать шесть конкретных областей.

Как ты:

• Войти в панель хоста?
• Войти на сервер (SSH, SFTP, FTP)?
• Войти на свой сайт?
• Войти в свой персональный компьютер?
• Войти в социальные сети?
• Хранить имя пользователя и пароль для каждой из этих переменных?

Слишком легко упустить из виду контроль доступа. Однако каждая отдельная точка доступа может предложить хакерам доступ ко всей вашей экосистеме.

Хакер также будет использовать ряд различных тактик, чтобы получить доступ к одной небезопасной точке входа. Думайте об этом как о домашнем воре, который проверяет каждый потенциальный вход, а затем крадется (или обманывает вас) копии ваших кодов доступа или ключей.

• Атаки методом грубой силы проще всего осуществить и они могут быть наиболее эффективным способом проникновения. При атаке методом грубой силы хакер пытается угадать потенциальные комбинации имени пользователя и пароля, чтобы войти в систему как заслуживающий доверия пользователь сайта.
• Атаки социальной инженерии становятся все более популярными. Хакер создает фишинговые страницы, предназначенные для того, чтобы заставить пользователя добровольно ввести свой идентификатор и пароль.
• Атаки с использованием межсайтовых сценариев (XSS) и подделкой межсайтовых запросов (CSRF) включают перехват учетных данных пользователя через браузер пользователя.
• Также используются атаки «человек посередине» (MITM) . При этом имя пользователя и пароль пользователя легко перехватываются, когда пользователь работает в не полностью защищенных сетях.
• Кейлоггеры и дополнительные вредоносные программы, отслеживающие пользователей , будут отслеживать вводимые данные, а затем сообщать о них хакеру, заразившему пользователя.

Но независимо от того, какой тип атаки будет совершен, цель хакера всегда одна и та же: получить прямой доступ к вашему сайту через надежные логины.

Независимо от стиля атаки, цель одна и та же: получить прямой доступ через логины.

Плагин iThemes Security добавляет больше защиты для безопасности вашего пользователя. Безопасность вашего сайта зависит от ваших пользователей, имеющих безопасные входы в систему с надежными паролями. Вот почему iThemes Security предлагает несколько уровней безопасности для пользователей, включая двухфакторную аутентификацию, доверенные устройства с защитой от перехвата сеанса, вход без пароля для проверки личности пользователя и защиту от взлома пароля. Вы даже можете запускать проверки безопасности пользователей, чтобы быстро проверить и изменить наиболее важные элементы безопасности вашего пользователя.

Следующий уровень безопасности, который добавляет iThemes Security, — это защита наиболее атакуемой части вашего веб-сайта — экрана входа в WordPress. iThemes Security предлагает два типа защиты от грубой силы для отслеживания недействительных попыток входа на ваш сайт. Как только пользователь или бот предпримет слишком много последовательных неверных попыток входа в систему, они будут заблокированы, и им будет запрещено предпринимать дальнейшие попытки в течение установленного периода времени.

2. Уязвимости программного обеспечения

На самом деле подавляющее большинство владельцев веб-сайтов WordPress не могут устранить уязвимости безопасности в современном программном обеспечении без патча, рекомендованного им разработчиком программного обеспечения. Проблема в том, что многие разработчики не учитывают угрозы, которые написанный ими код представляет для вашего сайта.

Небольшая ошибка, которая заметно не влияет на предполагаемый UX (пользовательский опыт), может быть использована, чтобы заставить программное обеспечение делать то, для чего оно не предназначено. И самые опытные хакеры рассматривают эти ошибки как потенциальные уязвимости.

Один из наиболее распространенных способов сделать это — использовать неправильно сформированный заголовок POST или неправильно сформированный унифицированный указатель ресурсов (URL) для инициирования ряда различных атак.

Это включает:

• Удаленное выполнение кода (RCE), которое позволяет полностью удаленно управлять целевым сайтом и системой.
• Удаленное/локальное включение файлов (R/LFI), которое использует введенные пользователем данные в поля для загрузки вредоносных файлов в систему.
• Внедрение SQL (SQLi), которое манипулирует полями ввода текста с помощью вредоносного кода, который отправляет последовательности атак на сервер.

Как и в случае с контролем активов, уязвимости в программном обеспечении выходят за рамки веб-сайта. Эти уязвимости можно найти и использовать в каждой взаимосвязанной технологии, на которую опирается веб-сайт.

И большинство современных сайтов используют смесь сторонних расширений, таких как плагины и темы WordPress, которые являются потенциальными точками взлома.

Поскольку уязвимые плагины, темы и основные версии WordPress представляют собой самую большую угрозу безопасности вашего сайта, iThemes Security приступает к сканированию вашего сайта. С помощью iThemes Security Site Scan вы будете знать каждый раз, когда плагин, тема или основная версия WordPress на вашем сайте уязвимы и нуждаются в обновлении. И даже лучше … он будет автоматически запускать обновления для вас. Site Scan использует самую полную доступную базу данных уязвимостей, поэтому у вас всегда будет новейшая защита. Сканирование сайта также интегрируется с безопасным просмотром Google, чтобы проверить статус вашего сайта в черном списке и наличие любых известных вредоносных программ или подозрительных файлов.

Вот как работает сканирование сайта iThemes Security для защиты вашего сайта:

• Сканирует ваш веб-сайт дважды в день на наличие уязвимостей . Плагины, темы и основные версии WordPress вашего веб-сайта проверяются по базе данных уязвимостей WPScan на наличие последних обнаруженных уязвимостей.
• Автоматически обновляется, если доступно исправление безопасности . В сочетании с управлением версиями iThemes Security автоматически обновляет плагин, тему или основную версию WordPress, если они имеют уязвимость.
• Отправляет вам электронное письмо, если сканирование сайта обнаруживает уязвимость — вы можете получить отчет по электронной почте, если на вашем сайте используются уязвимые версии плагина, темы или ядра WordPress. Настройте адреса электронной почты, на которые приходят результаты сканирования.

3. Сторонние сервисы и интеграции

Наконец, есть эксплойты, которые происходят через сторонние сервисы и интеграции.

Чаще всего они принимают форму рекламы через рекламную сеть, что приводит к атакам вредоносной рекламы.

Эти взломы будут включать службы, которые вы используете со своим сайтом и хостингом, включая такие переменные, как ваша CDN (сеть распространения контента).

Сторонние интеграции и службы обеспечивают достаточную взаимосвязь между различными частями вашего опыта управления сайтом. На самом деле, это то, что людям нравится в расширяемых системах управления контентом, таких как WordPress, Drupal и Joomla.

Но взаимосвязанность также дает возможность хакерам воспользоваться преимуществами.

Одна из самых больших проблем заключается в том, как хакеры используют эти службы и интеграции таким образом, что владелец веб-сайта не может их контролировать. Как создатель сайта или менеджер, вы очень доверяете сторонним поставщикам, когда решите использовать одну из их интеграций.

И, конечно же, многие заботятся о безопасности своих интеграций.

Но, как и в других вещах, существует неотъемлемый риск. И это то, на что хакеры всегда смотрят.

Один из способов, которым iThemes Security защищает доступ третьих лиц, — безопасные пароли приложений для XML-RPC и REST API. Это обновление позволяет использовать аутентификацию по имени пользователя и паролю для запросов REST API, чтобы вы могли заблокировать REST API (согласно нашей рекомендации), но при этом разрешить подключение внешних инструментов, использующих REST API.

Защита вашего сайта от взлома

Безопасность веб-сайта WordPress имеет значение. Большая часть безопасности веб-сайта WordPress — это образование и осведомленность. Просто прочитав это руководство, вы сможете лучше защитить свой сайт.

Двигаясь вперед, вам нужно предпринять определенные шаги. И наша цель – помочь вам их достичь. К сожалению, только после того, как что-то уже пошло не так, многие владельцы веб-сайтов наконец начинают серьезно относиться к безопасности.

Вместо этого, почему бы не опередить боль и не предпринять следующие шаги, чтобы уберечь себя от нее:

1. Используйте принципы глубокоэшелонированной защиты. Это включает в себя создание уровней безопасности, подобных луковице. Каждая практика затрудняет проникновение хакеров в вашу экосистему.
2. Используйте передовой опыт наименее привилегированных пользователей. Убедитесь, что вы ограничиваете то, что позволяет им делать логин каждого пользователя сайта.
3. Создавайте двухфакторную аутентификацию и многофакторную аутентификацию везде, где только можно. Это дополнительно защитит эти конкретные точки доступа пользователей.
4. Используйте брандмауэр веб-сайта. Это будет творить чудеса, ограничивая попытки хакеров использовать уязвимости в программном обеспечении.
5. Запланируйте резервное копирование на регулярной основе. Загрузите и установите плагин резервного копирования BackupBuddy WordPress в качестве решения этой проблемы. Таким образом, если ваш сайт когда-нибудь взломают, вы сможете восстановить его несколькими щелчками мыши.
6. Получите точку зрения основных поисковых систем. Bing Webmaster Tools и Google Search Console предоставляют полезные отчеты о том, как они оценивают безопасность вашего сайта.

Лучший способ покрыть эти базы безопасности как владелец сайта WordPress — использовать плагин iThemes Security Pro.

Тогда поймите, что нет надежного способа всегда оставаться на 100% в безопасности. Инструменты, которые вы используете в среде своего веб-сайта, значительно снизят общий риск. Но безопасность — это не единичное действие или событие. Это ряд действий.

И все начинается с отличного инструмента, такого как iThemes Security Pro, который поможет вам лучше всего защитить свой сайт.

Теперь, когда вы знаете, что делать и что искать, вы, несомненно, столкнетесь с одним из сценариев безопасности, которые мы рассмотрели в этом руководстве. Но теперь вы будете лучше знать, что делать, чтобы решить проблему.

Лучший плагин безопасности WordPress для защиты и защиты WordPress

В настоящее время WordPress поддерживает более 40% всех веб-сайтов, поэтому он стал легкой мишенью для хакеров со злыми намерениями. Плагин iThemes Security Pro устраняет сомнения в безопасности WordPress, упрощая защиту вашего веб-сайта WordPress. Это похоже на штатного эксперта по безопасности, который постоянно отслеживает и защищает ваш сайт WordPress для вас.

Получите iThemes Security Pro

Кристен Райт

Кристен пишет учебные пособия, чтобы помочь пользователям WordPress с 2011 года. Как директор по маркетингу здесь, в iThemes, она стремится помочь вам найти лучшие способы создания, управления и поддержки эффективных веб-сайтов WordPress. Кристен также любит вести дневник (ознакомьтесь с ее побочным проектом «Год трансформации !»), походы и кемпинги, степ-аэробику, кулинарию и ежедневные приключения со своей семьей, надеясь жить более настоящей жизнью.