Плагіни як одна з основних причин взлому вашого сайту
У цій статті я не буду докладно пояснювати, що таке плагіни WordPress та для чого вони використовуються, оскільки я вважаю, що мої читачі вже обізнані з цими поняттями. Ми зосередимося більше на аспектах безпеки, пов’язаних з вибором та використанням плагінів, оскільки саме це є критично важливим для забезпечення стабільності та безпеки вашого сайту на WordPress.
Важливо усвідомлювати, що WordPress не здійснює прямого контролю за безпекою плагінів. Ці доповнення можуть розроблятися як великими компаніями з існуючою репутацією, так і окремими розробниками, де людський фактор відіграє ключову роль. Це означає, що безпека будь-якого плагіну може бути під впливом різних чинників, включаючи особисту компетентність та наміри розробника. Тому критично важливо бути обережним при виборі плагінів, особливо тих, що не мають широкої бази користувачів або відгуків.
У попередній статті я згадував про бази даних вразливостей, які включають в себе фільтр за плагінами WordPress. Якщо ви уважно оглянули ці бази, то, можливо, помітили, як вони можуть бути корисними в ідентифікації потенційних ризиків, пов’язаних з певними плагінами, які ви використовуєте або плануєте використовувати на вашому сайті.
Водночас, важливо пам’ятати, що бази даних вразливостей можуть використовуватися не тільки для захисту, але й зловмисниками, які шукають потенційні слабкі місця на вашому сайті. Ці інструменти можуть допомогти хакерам виявляти плагіни з відомими вразливостями, які використовуються на вашому сайті, відкриваючи шлях для можливих кібератак.
Ба більше, існують спеціалізовані інструменти, такі як WPScan, які використовуються для виявлення версій встановлених на вашому сайті плагінів WordPress та пошуку відомих вразливостей у них. WPScan зазвичай використовується на операційних системах Linux та є потужним засобом для проведення безпекового аудиту вашого сайту. Однак, як і інші інструменти безпеки, він може бути використаний як для захисту, так і для виявлення слабких місць зловмисниками.
Приклад: щоб запобігти взлому думай як зловмисник.
Наведу примітивний приклад як зловмисники можуть використовувати вразливості плагінів щоб проникнути на ваш ресурс.
Зловмисник який використовує інструменти на кшталт WPScan, я можу легко виявити вразливості в плагінах, виконавши таку команду.
wpscan --url https://mysiteforexample.com
Ось приблизні дані які поверне WPScan(якщо чесно, рандомна ілюстрація з пошуку за запитом: “wpscan linux plugin vulnerabilities”):
Ці дані включають назву вразливого плагіну, версії, в яких була знайдена проблема, і, що найважливіше, у якій версії вразливість була виправлена. З цією інформацією зловмисники можуть цілеспрямовано використовуючи вразливість проникнути на ваш ресурс.
На основі цієї інформації вже можна зробити висновок, що вразливості, які були виявлені за допомогою сканування, можуть дозволити зловмисникам виконувати шкідливий код на вашому сайті без необхідності отримання доступу до адміністративної панелі. Це може включати дії від витоку конфіденційної інформації до повного видалення даних на сайті.
Висновок
Можна виділити кілька ключових правил для підтримання безпеки вашого сайту на WordPress:
- Чим менше плагінів ви встановлюєте, тим менше потенційних точок входу для атаки знаходять зловмисники.
- Важливо ретельно перевіряти плагіни перед їх встановленням — з’ясувати, хто є розробником, чи були випадки взлому, та як часто плагін оновлюється.
- Особливу обережність слід проявляти до плагінів, створених розробниками з московії, вони
можуть мати мають мотивацію до проведення кібератак. - Якщо ви вже маєте встановлені плагіни, то критично важливо регулярно їх оновлювати, щоб запобігти використанню застарілих версій, які можуть містити вразливості.
Ви можете запитати, як зловмисники виявляють версію плагінів на сайті. Все дійсно досить просто: багато розробників плагінів включають інформацію про версію прямо в коді плагіна, яку можна знайти, проаналізувавши файли плагіна в браузері. Якщо ж інформація про версію не вказана, можливо визначити її, порівнявши код плагіну з кодом, опублікованим на GitHub або інших сховищах коду.