Защита на WordPress сайт от хакери и ботове
За защита на WordPress сайт от хакери и ботове може да се използват много и различни прийоми. Това, което трябва да се запитаме първо е ‘защо трябва да защитим сайта си’?
Какво е WordPress и защо е обект на атаки?
На първо място, WordPress е CMS (Content Management System) или система за менажиране на съдържанието. Първоначално изградена като блог, WordPress може да бъде надстройван до неузнаваемост и в днешно време може да се използва за почти всичко – от обикновени бизнес сайтове, до социални мрежи, сайтове за запознанства, обяви, онлайн магазини и други. Тя е с отворен код и е най-популярната система за сайтове в света. Отвореният код означава, че може да свалите цялата начална структура на системата на Вашият компютър. С достатъчно познания по кодиране, можете да разберете как точно работи. А когато знаете как работи едно нещо, знаете и как да го накарате да не работи. Тази информация често се използва от хакерите по света.
WordPress има стандартни файлове, които е доста трудно да бъдат променени/пренаписани така, че да не може да се стигне до конфигурацията, която сървъра използва. Данните на WordPress се съхраняват в база от данни, а данните за достъп до тази база данни се намират в един-единствен файл, наречен wp-config.php. Административната част на WordPress също е стандартна и тя се менажира чрез директорията ‘wp-admin’. Знаейки това, хакерите обикновено се опитват да получат достъп или до базата с данни, до административната част, или и двете.
Как може да се получи достъп до данните на сайта?
За да се добавят различни функционалности и визии в WordPress се използват притурки – плъгини или готови теми. И в двата случая, те се инсталират към апликацията и получават свой достъп до базата данни. В много случаи, хакерите използват точно това, за да се ‘вмъкнат’ в базата данни и да откраднат информацията за достъп до сайта. Това обикновено става чрез остарели плъгини, теми, които по принцип са платени, но се свалят от сайтове, които ги предлагат безплатно и прочие. Един начин да се предпазим от това е да обновяваме системата редовно. Много често, собствениците на сайтове виждат различни плъгини, за които WordPress показва налични актуализации, но не ги актуализират. Това води до опасност за целия сайт, възможност за кражба на информация или цялостен разрив във функционалността му. Преди няколко години бе популярен код, с който нищо неподозиращи посетители на новинарски сайтове бяха използвани за копаене на криптовалути.
Ако при създаването и менажирането на сайта не използвате защитени потребители и сложни пароли, това също може да предизвика пробойни в системата.
Защо е нужно да се предпазим от хакерски атаки?
На първо място, за да можем да твърдим, че информацията за нашите потребители/посетители е защитена. Не бихте желали всички Ваши клиентски данни да бъдат ‘източени’. Също така, това е начин да сме в крак с изискванията за GDPR и когато казвате, че не отдавате лични данни на трети лица, това в действителност е така. Освен с възможността за кражба на информация, един злонамерен хакер може да атакува сайта Ви с така наречената IP бомба. Това е постоянно достъпване на сайта Ви, което повишава сървърните ресурси и обикновено е причина за спирания на сайтове, за проблеми с хостинг компаниите или забавяне на самия сайт. Най-лесно можете да си го представите, когато отворите на компютъра си 15 различни програми и продължите да отваряте такива, докато най-накрая системата се претовари. Особено ако имате някаква действаща промоция или реклама, това е последното, което бихте желали да се случи.
Разликата между системи като WordPress и така наречените “наети” сайтове е, че когато работите с CMS система, Вие имате достъп до файловете и базата данни. Ако решите, можете да изтриете съдържание от там и то няма да бъде достъпно за никой, дори ако сайта Ви е хакнат. Когато използвате наета система (от порядъка на WIX, например), Вие нямате пряк достъп до файловете и не можете да сте 100% сигурни, че информацията, която изисквате от клиентите и посетителите си е защитена.
Може ли електронната поща да бъде хакната през сайта?
Отговорът на този въпрос е – привидно – да. На практика, пощата Ви се управлява от съвсем различно място – cPanel, друг вид контролен панел, G-Suite, Office 365 или друга мейл система. Как тогава разбирате, че Вашата поща изпраща спам на непознати адресати? Вие вероятно ще получите уведомления за провалена доставка на писма, които не са изпратени от Вас. Това е много лесно за манипулиране, когато на сайта си имате контактна форма.
Има вид злонамерен код, който е известен под името ‘спам бот’. Това е скрипт, които обикаля сайтовете, на принципа на паячетата на Google, но целта му е да търси контактни форми. Когато намери такава, скрипта започва да я попълва, въвеждайки данни на неизвестни/невалидни мейли, или пък актуални такива. Контактните форми на сайтовете обикновено са проектирани така, че да изпращат на попълващия копие от въведените данни. Така, ако желаете да изпратите спам за Вашите услуги, можете просто да попълните чужд мейл адрес, съдържанието на Вашият спам и той ще бъде изпратен не от Вас, а от сайта, където попълвате тази информация. Така действат и спам ботовете. Те попълват спам информация и карат Вашият сайт да я разпраща на други мейли, без дори Вие да подозирате. WordPress има стандартни файлове, които е доста трудно да бъдат променени/пренаписани така, че да не може да се стигне до конфигурацията, която сървъра използва. Данните на WordPress се съхраняват в база от данни, а данните за достъп до тази база данни се намират в един-единствен файл, наречен wp-config.php. Административната част на WordPress също е стандартна и тя се менажира чрез директорията ‘wp-admin’. Знаейки това, хакерите обикновено се опитват да получат достъп или до базата с данни, до административната част, или и двете.
Как да се защитим?
Creative Idea използва няколко модула и похвата за защита на WordPress от хакери и злонамерени ботове. Ние добавяме кодове в специален файл на сървъра, който блокира достъпа на над 40 известни ботове, което намаля съществено риска от проблеми с хостинг компанията, която ползвате. Всички контактни форми използват тип CAPTCHA, или въпрос, за доказване, че попълващия не е бот, а реален човек. Инсталираме специален модул за защита на WordPress сайта, който улавя всички опити за атаки, както и за неоторизирани влизания в сайта и блокира IP адресите на атакуващия. Така ние сме сигурни, че сме направили всичко по силите ни, за да Ви защитим. Не препоръчваме добавянето на модули и скриптове, закупени от нерелевантни сайтове, или пък предложени като безплатни такива. Имайте предвид, че ако забележите, че сайта Ви е хакнат днес, злонамерения код може да е поставен още преди месец. Препоръчваме на собствениците на хакнати сайтове да се обръщат към специалисти.
Creative Idea
ул. "Трапезица" №50
7700, гр. Търговище
България
Телефон: +359 897 25 28 99
Email: contact@creative-idea.eu
Creative Idea предлага изграждане на уеб сайтове, SEO оптимизация, реклама, ребрандиране/освежаване на сайтове, физическа реклама, печат и дизайн. Менажиране на социални профили и кампании, цялостен бизнес брандинг, наемане на рекламни лица и инфлуенсъри. Готови пакетни услуги за сайтове и поддръжка.
