О защите блога. Насколько все это критично

Ваш отзыв

защита блога

Добрый день, уважаемые читатели! Сегодня я вспомнила об одном сайте, исходя из данных которого можно сделать вывод о реальной необходимости защиты блога. Казалось бы, ни для кого не тайна, что ежедневно подвергаются различным атакам сотни сайтов. Но все это звучит как информация о чем-то далеком и недосягаемом. Это не про нас! Я не буду давать ссылку на тот ресурс, с которого я брала информацию, но его название можно будет увидеть на приведенном в статье скриншоте и, соответственно, легко потом найти сам ресурс. Среди просмотренных сайтов взлому подверглись и сайты на WordPress.

В число просмотренных сайтов, подвергшихся успешной атаке за 2 октября, вошло 44 экземпляра. Среди них точно было 9 блогов на WordPress, еще три штуки не удалось опознать — они были качественно дефейснуты.

сайты без защиты

Все блоги были атакованы одним и те же товарищем, который добавлял на сайт страницу Pal.html. Если на нее перейти, то там открывается страница с изображением того, что в России запрещено. Да еще и с музыкальным сопровождением. Когда некоторое время назад я гуляла по таким взломанным сайтам, то находила порой жутковатые результаты дефейса  . А с одного сайта даже музыку сохранила  .

Давайте с Вами посмотрим, на каких версиях WordPress поверженные блоги крутятся.

Версия WordPressКол-во блогов
4.8.23
4.72
4.6.11
4.5.101
4.1.191
3.91

Видно, что часть затронутых блогов крутятся на неактуальных версиях движка, сайтам необходимо не только прибить непотребный контент, но и обновиться до последней версии WordPress. Но есть и те, которые обновились…

Каким образом я узнала версию WordPress? В url сайта дописывала readme.html, это файл, входящий в стандартную поставку движка WordPress.

узнать версию WordPress

Его настоятельно рекомендуется удалять.

Также в html-коде страниц блога может быть такая строка:

Этого тоже не должно быть, данную строку надо удалить из файла header.php Вашего шаблона.

Сразу скажу, что такие вылазки на атакованные сайты — штука совсем не безопасная. В данных случаях применялся простой дефейс, в других случаях возможны навешивания каких-либо скриптов, которые будут атаковать машину, с который сайт был просмотрен. В идеале это надо делать с виртуальной машины,  состояние которой сбрасывается после таких просмотров.

Советы по защите блога

Исходя из той небольшой информации, которую удалось почерпнуть, сразу рождаются некоторые советы по защите блога.

Обновление WordPress, плагинов и удаление открытой информации о применяемой версии движка — это основа основ безопасности сайта WordPress

Данные 9 блогов размещались на одном IP, т.е. подверглись т.н. массовому дефейсу (англ. mass defacement). Часто говорят о том, что если Вы пользуетесь Shared-хостингом, или, говоря по-простому, сидите на одном IP-адресе с кучей других сайтов, Вы рискуете попасть под раздачу Роскомнадзора. Просто Вашего соседа по серверной стойке заблокировали. Ну а Вы… попали  . Но помимо этой проблемы Вы еще рискуете быть взломанным наряду с другим сайтом, размещенным на данном IP просто «до кучи».

Размещайте Ваш блог на выделенном IP-адресе

В идеале, если у Вас серьезный блог, лучше заказать себе VDS/VPS хостинг, но обязательно с выделенным IP.

Данные сайты крутились у одного хостера, не буду тут его называть, чтобы не было лишних вопросов ко мне, тем более, что он может быть и ни при чем. Точно утверждать я не могу, но теоретически взломали только один из блогов со старой версией движка, а потом при отсутствии нормальной изоляции сайтов в рамках одной учетной записи обычного shared-хостинга зараза понеслась далее и заразила остальные сайты.  Знаю, прецеденты были.

Точно был случай, когда залили на сайт вредоносные скрипты через машину, на которой стоял FileZilla с запомненным паролем FTP… 

Машина, с которой идет управление блогом, должна быть сама защищена антивирусом с обновленными базами. Никаких запомненных паролей от FTP, SSH!

И да, без этого совета по защите блога все тлен.

Делайте бэкапы блога, сохраняйте их периодически на недоступные с Вашего сайта носители информации. На флешки, на другие компьютеры, на внешние жесткие диски и куда еще воображение подскажет

Остальное — это тема для отдельной, более обстоятельной статьи по защите своего блога.


Оставьте комментарий

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url=""> <img src="" alt="" class="" width="" height="">

http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ab.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ac.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ag.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ah.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ai.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ak.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/am.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/an.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ao.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/aq.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ar.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/at.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/av.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/aw.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ay.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/az.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/bb.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/bc.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/bd.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/be.gif 
больше...