Стоит ли делать сайты на хостинг WordPress?

Сегодня мы поговорим о безопасности сайтов на WordPress.

how to install wordpress Стоит ли делать сайты на хостинг Wordpress?

Стоит ли использовать хостинг WordPress

«Вишенка на торте»

CMS WordPress — это самая популярная и наиболее распространенная система в мире. По информации портала w3techs.com, в настоящее время примерно 27,7% всех веб-сайтов в мире (доля рынка — 58,8%) используют WordPress в качестве блог-площадок, представительств собственного бизнеса в Сети и даже для интернет-магазинов.

Разумеется, популярность этого движка обусловлена отсутствием платы за его использование. Вдобавок, WordPress, наверное, — одна из наиболее комфортных и удобных CMS: быстрый старт онлайн-проекта и очень простая эксплуатация веб-сайта в дальнейшем, приятный и интуитивно понятный администраторский интерфейс, доступность большого количества шаблонов и расширений, помогающих совершенствовать и развивать сайт без глубоких знаний.

Обратная сторона такой всемирной любви — это частые взломы веб-порталов на WordPress и хорошо изученный злоумышленниками код расширений. К сожалению, проведение атак на WP — это низко бюджетное и выгодное предприятие все по той же причине: проектов, которые работают на данном движке, намного больше, нежели на других, да и доступных средств для взлома сегодня предостаточно.

Таким образом и за одну автоматизированную атаку (нецелевую/массовую) хакер может взломать, заразить существенно больше сайтов чем на ином движке.

Автоматизированная массовая атака — это атака на большое количество сайтов, которые сгруппированы по определенному признаку: к примеру, наличию аналогичных критических уязвимостях в скриптах CMS, шаблонах или плагинах. При подобной атаке хакер применяет автоматизированные средства — специальные приложения для взлома.

Ключевые достоинства массовой автоматизированной атаки — это большая выборка потенциальных клиентов для заражения, низкая цена взлома, а также минимально затраченное время для достижения результата.

Так стоит ли в данной ситуации оставаться на «любимой» хакерами площадке? Не целесообразнее ли, действительно, перейти на какой-нибудь другой движок?

WordPress или ...?

На самом деле здесь все зависит от задачи, которая стоит перед владельцем веб-сайта, и типа интернет-проекта. Интернет-магазин на CMS WordPress — это очень рискованный и не наиболее оптимальный вариант (WordPress, все же изначально создан совсем не для e-commerce), и лучше перейти на платный движок, созданный специально для онлайн-торговли.

Высокопосещаемые сайты тоже нуждаются в намного более серьезном решении. Так как подобного уровня веб-ресурсы попадают в зону риска и могут легко привлекать более серьезных хакеров, которые не прочь повозиться с сайтом «вручную» и попробовать взломать его в рамках целевой атаки.

Но маленький новостной портал, персональный блог, всяческие региональные информационные веб-проекты, лендинги могут отлично существовать и на бесплатном движке. Надо лишь заранее позаботиться об их полной безопасности.

Зараженные интернет-проекты на WordPress с легкостью лечатся и очень просто защищаются. И мы не рекомендовали бы менять CMS, если в этом нет какой-то особой необходимости, упомянутой выше (ecommerce направленность или большой трафик).

Начать надо не со смены движка, но с изменения своего отношения к разным вопросам безопасности: принятия очень простых истин.

Первая истина

Во-первых, под хакерской атакой или атакой ботов может оказаться практически любой веб-сайт. Сайты взламывают как на бесплатных CMS, так и на коммерческих движках. Основное правило безопасности — это вовремя позаботиться о защите собственного сайта от атак хакеров.

Практически любой среднестатистический веб-ресурс без защиты может быть с легкостью взломан хакерами в рамках автоматизированной массовой кампании, имей он хотя бы одну критическую уязвимость в шаблонах, скриптах или плагинах. Это как особая лотерея с плохим выигрышем — ваш интернет-ресурс может попасть в выборку хакеров для атаки, а может и не попасть.

Интерес хакеров, как очень ошибочно рассуждают хозяева небольших сайтов, сосредоточен не только лишь на крупных порталах. Наоборот, под массовую раздачу может попасть фактически любой сайт. Вне зависимости от его посещаемости, популярности и прочих характеристик.

Нецелевая автоматизированная атака — это атака вслепую. Веб-нарушитель не имеет понятия, какие веб-сайты оказались в его выборке, какой тематике они посвящены и кто их аудитория. В одной связке вполне может оказаться и портал регионального детского сайта, и веб-сайт турагентства из Испании. Поскольку задача хакера — не сам веб-сайт, а его надежный хостинг WordPress, где он будет размещать фишинговые странички, вредоносные файлы, дорвеи или с которого начнет рассылать регулярный спам.

tags categories hq Стоит ли делать сайты на хостинг Wordpress?

Вторая истина

Во-вторых, веб-ресурсы взламывают не только лишь через какие-то уязвимости. Доступ к вашему сайту хакер может получить и через перехват паролей к хостингу или сайту. Это может случится при взломе компьютера; при нерегулярной смене паролей, в особенности в тех случаях, когда доступы предоставлялись третьим лицам и никак в дальнейшем не контролировались; или в случаях, когда администрирование веб-проекта осуществлялось через ненадежное сетевое подключение (к примеру, через публичный WiFi в кафе, в торговых центрах и так далее). Как вы понимаете, это может произойти не только лишь с веб-сайтом на WordPress.

Третья истина

В-третьих, на тех хостингах, где нет специальной технической изоляции веб-ресурсов друг от друга (то есть скриптами одного веб-проекта можно вносить изменения в файлы второго сайта), сайт на этой CMS может быть взломан через соседа, который работает на другой CMS. К примеру, хакер получает доступ к порталу на Joomla и через него уже ломает сайт на WordPress.

Владельцы зараженных и взломанных сайтов зачастую совсем незаслуженно обвиняют в своих проблемах хостинг провайдеров. Однако так ли это справедливо и есть ли реальная угроза на стороне провайдера?

Риск взлома, заражения интернет-ресурса присутствует в случае, если речь идет о доморощенном и мелком реселлере. Обычном частнике, который взял в аренду сервер и затем распродает на нем веб-пространство по низкой цене, таким образом привлекая владельцев веб-сайтов. В этих случаях сервер часто не администрируется надлежащим образом.

Разные критические уязвимости совсем не закрываются, серверное программное обеспечение вовремя не обновляется, а все правила безопасности просто игнорируются.

Самые крупные топовые отечественные провайдеры заботятся о безопасности собственных серверов и активно инвестируют в развитие технологий. Однако хостинг провайдер не несет ответственности за дырявые движки и плагины, на которых функционируют веб-ресурсы его клиентов. Безопасность сайта — это всегда ответственность его владельца.

Стоит отметить, что сайты на этой CMS очень часто заражаются самими же владельцами веб-ресурсов, которые ради экономии устанавливают на свои сайты бесплатные плагины и темы из непроверенных источников с вредоносным кодом.

Резюмируя все сказанное выше, на месте сайта на этой CMS может оказаться любой иной сайт, в частности реализованный на платной CMS, в случае если его владелец будет постоянно игнорировать правила безопасности.

Как владельцам веб-сайтов на WordPress снизить риски заражения

Владельцы сайтов очень часто имеют ограниченное представление, что такое безопасность их сайта. Одни думают, что расширение безопасности, установленное на CMS WordPress — это гарант защиты против вторжений хакеров. Другие видят безопасность сайта в частой смене паролей и следуют золотому правилу, устанавливая длинные и сложные комбинации из букв, цифр и символов.

Третьи медитируют на специальные автоматические лечилки — особые сервисы, которые могут вроде как быстро удалить вирусы с сайта и оперативно возвратить их в строй полностью дееспособных. Четвертые при непредвиденных обстоятельствах и вовсе рассчитывают на волшебный бэкап, который постоянно создается на хостинге.

И все-таки мало кто из владельцев сайтов в настоящее время реально понимает, что безопасность сайта — это комплекс регулярно выполняемых мероприятий, а не просто разовое действие.

Безопасность веб-ресурса складывается из двух главных элементов: технических инструментов защиты, а также организационных мер безопасности.

unnamed Стоит ли делать сайты на хостинг Wordpress?

Технические инструменты защиты

Технические инструменты защиты связаны с перенастройкой хостинга и сайта, процессом цементирования, препятствующим любому несанкционированному внедрению в файлы веб-ресурса вредоносных элементов; установкой на интернет-сайт специального защитного экрана, который блокировал бы саму возможность осуществления атак на веб-сайт; а также защиту административной панели от брутфорс-атак (то есть подбора паролей).

Эту часть вопроса можно закрыть посредством привлеченных опытных специалистов по безопасности. Речь здесь идет о разовой процедуре, которую надо сделать лишь один раз, но на профессиональном уровне.

Организационные меры безопасности

Организационные меры безопасности — набор разных правил управления доступами к хостингу, сайту, гигиена безопасного администрирования веб-сайта, корректно организованная работа с любыми подрядчиками:

  • Своевременное и регулярное обновление движка, всех шаблонов и плагинов.
  • Создание регулярных бэкапов, их сохранение не только на хостинге, но также локально.
  • Частая смена паролей от хостинга и сайта.
  • Профилактическая проверка интернет-портала на предмет взлома, заражения. Здесь будут оптимальными бесплатные инструменты: веб-сканер страничек сайта ReScan.Pro и сканер файлов на хостинге AI-BOLIT.
  • Работа с подрядчикам на специальной договорной основе. Предоставление подрядчикам исключительно ограниченного доступа к хостингу и сайту для выполнения определенных задач; смена всех паролей после окончания задач подрядчиком; выполнение профилактической проверки интернет-сайтов сканерами после предоставления доступов к хостингу и сайту третьим лицам.
  • При работе с интернет-проектом через публичный WiFi применение VPN или выход в Сеть через LTE.

Организационная часть — это зона ответственности владельца портала (при наличии бюджета эта часть может быть отдана на аутсорсинг специальной команде, однако владельцы веб-сайтов на WordPress, в основном, не располагают подобным бюджетом, потому контролировать этот вопрос скорее всего придется, к сожалению, самостоятельно).


Поделитесь с друзьями



Оставить комментарий

Хостинг с отличным саппортом — HOSTiQ