Открыто

Защита сайта на Wordpress от взлома

Тема в разделе "Дизайн и креатив", создана пользователем trance, 19 май 2016.

?

Ваш сайт взламывали ?

  1. Да

    62 голосов
    40,8%
  2. Нет

    29 голосов
    19,1%
  3. Возможно, я не знаю

    19 голосов
    12,5%
  4. Сайты моих знакомых взламывали

    13 голосов
    8,6%
  5. Я сам взлымывал

    4 голосов
    2,6%
  6. У меня нет сайта

    25 голосов
    16,4%
Цена: 490р.
Взнос: 490р.

Основной список:

  1. 1.Попондополо  
  2. 2.Ramzes1  
  3. 3.aleksey83  
  4. 4.Виталий777  
  5. 5.Хуан Педро Гонсалеззз  
  6. 6.jr0x  
  7. 7.alas_venti  
  8. 8.rechiem  
  9. 9.Alida  
  10. 10.Gregory1_1  
  11. 11.IceMonk  
  12. 12.Clay Burton  
  13. 13.Kashtanik  
  14. 14.Aldebard  
  15. 15.sergmak  
  16. 16.welsa  
  17. 17.Dallas71  
  18. 18.Wanderer2006  
  19. 19.Sulim  
  20. 20.max_drey  
  21. 21.Amethystium  
  22. 22.deface  
  23. 23.vladbakaev  
  24. 24.uchasneg  
  25. 25.JoshkinKot  
  26. 26.nemov_alexander  
  27. 27.Romeo_o  
  28. 28.onlywebstudy  
  29. 29.Emmett Brown  
  30. 30.Kata456  
  31. 31.Mtv Gru  
  32. 32.Ombun  
  33. 33.VikSon  
  34. 34.keypoints  
  35. 35.columber  
  36. 36.Astro Nascente  
  37. 37.Konst  
  38. 38.Dmytro84  
  39. 39.anarhist  
  40. 40.testbva  
  41. 41.valeriynet  
  42. 42.zdorovo  
  43. 43.aerolite  

Резервный список:

  1. 1.Liafell  
  2. 2.Lord Tirion  
  3. 3.ProfiDmitriy  
  4. 4.medlenen  
  5. 5.Anarhist7  
  6. 6.DrDAO  
  7. 7.Sandwinddune  
  8. 8.C-5527  
  9. 9.Morgana  
  10. 10.larionovro  
  11. 11.Dinasty  
  12. 12.v0lga  
  13. 13.nb-13  
  14. 14.LookS  
  15. 15.aslanmen  
  16. 16.Влад Симонов  
  17. 17.SkyFire  
  18. 18.Potapov-Andrei  
  19. 19.Alshu6  
  20. 20.1ngard  
  21. 21.Oscuro  
  22. 22.Ramze$$  
  23. 23.Klimt Westwood  
  24. 24.abrakadabra  
  25. 25.Patevich  
  26. 26.Adil1603  
  27. 27.baxmut  
  1. trance

    trance trance СкладчикСкладчик

    Есть ли у вас 100% уверенность, что ваши сайты в данный момент не взломаны или их не взломают, в то время, когда вы будете отдыхать?

    В большинстве случаев, владельцы сайтов об этом даже не догадываются о взломе, что может привести к :

    • С вашего сайта производится СПАМ-рассылка писем.
    • В поисковой выдаче вы находитесь значительно ниже, чем должны быть или вообще отсутствуете, ваш сайт помечен как опасный.
    • С вашего сайта продают ссылки и уводят посетителей.
    • Пользователей вашего сайта заражают вирусами.
    • Могут размесить дорвей (спамный контент) из за которого у вас потом долго будут проблемы с поисковыми системами.
    • У вас крадут ваших клиентов и их личные данные.
    • Ваши секретные данные уже давно известны вашим конкурентам.

    Задумайтесь, сколько времени и денег вы можете потерять если такое вдруг случиться ? Что будет если вдруг ваш сайт, который приносит например 30 000 рублей с рекламы вдруг окажется зараженным, поисковые системы пессимизируют его, или вообще выкинут из выдачи. Трафика не будет и денег тоже, потом еще несколько месяцев восстанавливать прежние позиции если вообще выйдет... А что будет если пользователей которых вы покупаете например в директе будут заражать вирусом или перенаправлять куда то в другое место ? Одни расстройства.

    Тут даже не имеет значения, пользуется ли ваш сайт популярностью или нет, его рано или поздно его попытаются взломать.

    Каждое веб-приложение на PHP в среднем содержит 11 критически опасных уязвимостей. … (выдержка из статьи*)

    Печальная статистика уязвимостей по данным Positive Technologies (компания является одним из лидеров на рынке Европы и РФ)

    *Подробно ознакомиться со статистикой можно тут



    [​IMG]

    Как видите:

    ~70% сайтов уязвимы к XSS (cross site scripting), многие кстати недооценивают опасность XSS, но ей можно не только красть куки для авторизации, но использовать ее для заливки шела, не напрямую конечно, но возможностей достаточно

    ~48% к sql injection, ~40% были уязвимы к подбору паролей и сдались

    ~55% Session Prediction, позволяет перехватывать сессии других пользователей

    ~40% Insufficient Authorization, дает доступ к информации без авторизации, например к части админ панели

    ~35% CSRF (Cross-Site Request Forgery), хакер сможет выполнять какие то действия на сайте от имени другого человека, например добавить нового админа или залить шел если админка позволяет, в wp конечно изначально есть защита от этого, но в некоторых случаях ее может не быть, плюс вместе с XSS при удачном стечении обстоятельств эту защиту можно обойти.

    От себя могу еще сказать что в маленьких проектах которые пишутся с нуля очень часто, почти всегда, нет защиты от CSRF, об этом просто никто не думает а зря. И это касается всех дополнений для wp, их пишут сторонние люди...

    Я сам лично, пока проводил исследование качал случайно несколько разных плагинов и каждый был уязвим. Хорошо если там будут просто какие то мелкие настройки, особо не влияющие на работу сайта, но что если там будет например возможно что залить свой файл или отредактировать уже существующий ? Все беда.

    Это такие, наиболее опасные вещи из статистики.

    Wordpress к слову тоже сделан на php, хотя конечно из в нем нет такого количества уязвимостей сейчас. WP популярен, его много и постоянно исследуют все кому не лень и это помогает.

    Однако это не относиться к куче дополнений к движку, в большинстве случаев их пишут менее опытные программисты и уязвимостей там в разы больше, их постоянно находят и не всегда хорошие люди.

    Стоимость

    Почему так дешево ? Аудитория складчика располагает отдавать дешево, обычно скупают все по минимальным ценам, редко когда что то продается дорого.

    490 руб. цена маленькая, это буквально раз пойти куда то поесть. По сравнению с аудитами безопасности сайтов, которые стоят от 10 до 90 000 руб (не буду рекламить ссылки, можете просто забить в яндексе "аудит безопасности сайта" и сами посмотреть), это совсем копейки. Хотя конечно, смотря кто и что делает, цены могут разниться еще больше. Даже просто почистить шаблон, сайт от вирусов стоит на фрилансе пару тысяч рублей, но там конечно никто не будет искать как туда попал вирус и латать дыры.

    Но изучив материал вы конечно не станете опытным пентестером / специалистом по безопасности, у вас будет нужная база чтобы предотвратить большую часть атак на свои сайты.


    Мы разберем с вами все аспекты работы от А до Я. Особый момент уделим защите wordpress движка. Хотя конечно большую часть можно перенести и на другие CMS по аналогии, но рассматривать все будем на примере wp. Выстроим защиту по максимуму из изначальных данных, сделаем так чтобы даже если кто-то чудесным образом сможет попасть в админку не сможет ничего сделать и еще много чего...

    Кроме защиты рассмотрим так же что делать если вы уже заразились, варианты поиска шелов, удаления вирусов, бэкдоров, левых ссылок.

    В общем если у вас есть сайт на wordpress или вы думаете завести сайт на wordpress то записывайтесь в складчину, материал будет полезен не только новичкам.
     
    KirillTyrov, Rabota_segodn, vladikamir и 2 другим нравится это.
  2. Последние события

    1. aerolite

      aerolite участвует в складчине.

      27 июн 2018
    2. driverrosta

      driverrosta не участвует в складчине.

      7 июн 2018
    3. zdorovo

      zdorovo участвует в складчине.

      17 май 2018
    4. zdorovo

      zdorovo не участвует в складчине.

      17 май 2018
  3. Dire

    Dire Dire МодерМодератор Команда форума

    Не увидел в стартпосте какие конкретно вопросы будут рассмотрены. Примерный план или оглавление курса было бы очень кстати.
    Могу взять по проверку. Опыт в WP достаточный.
     
    KirillTyrov, JoshkinKot, aleksey83 и 4 другим нравится это.
  4. Boneko

    Boneko Boneko ЧКЧлен клуба (П)

    Вы можете в будущем адаптировать Ваш курс, рассматривая защиту сайта на примере Adobe Muse?
     
    trance нравится это.
  5. Adekvatnii chelovek

    Adekvatnii chelovek Adekvatnii chelovek ЧКЧлен клуба

    будет рассматриваться настройка таких бесплатных плагинов безопасности как wordfence, ithemes security или что-то еще будет в курсе ? Хотелось бы увидеть план курса, пока что это кот в мешке.
     
    trance и Попондополо нравится это.
  6. trance

    trance trance СкладчикСкладчик

    Основные блоки:
    1. Организация инфраструктуры
    2. Работа с сайтом
    3. Если вас уже взломали - варианты поиска и удаления шелов, вирусов, бэкдоров

    Сейчас материал еще дописывается и правится, как будет готово напишу вам для проверки.

    По поводу скриптов которые выдает Muse можете не беспокоиться, там нечего ломать т.к. если не использовать каких либо дополнений то там просто html странички и простые обработчики форм.
    Там больше опасности что взломают каким либо другим способом, например через соседний сайт на сервере или украдут пароли от ftp. В курсе эти вопросы будут подыматься.

    Пока писал подумал что в принципе можно описать еще более подробно что делать в общем, для любых сайтов, взять больше примеров.

    Я описывал этот момент в конце статьи, прям какого то подробного плана курса нет, основные блоки описаны чуть выше. Будет не только работа с плагинами wp.

    PS кто еще обладает статусом и хочет взять на проверку отпишите мне.
     
    Boneko и Adekvatnii chelovek нравится это.
  7. Boneko

    Boneko Boneko ЧКЧлен клуба (П)

    Не сочтите за невежество, но я не хочу проходя курс тратить время на отсеивание информации по принципу "это общее - значит мне подойдёт".:oops:

    На Cкладчике много фанатов Adobe Muse! Вы можете создать отдельную складчину с адаптированной версией Вашего курса, рассматривая защиту сайта на примере Adobe Muse? :rolleyes:
     
    trance нравится это.
  8. trance

    trance trance СкладчикСкладчик

    Еще раз повторюсь что в плане скриптов для Adobe Muse там особо нечего защищать, т.к. и ломать то нечего там почти всегда.

    Отдельную складчину под Muse наверно создавать не особо имеет смысл сейчас. Но окей, в качестве бонуса рассмотрю более подробно и для Muse в этой складчине.
     
  9. Boneko

    Boneko Boneko ЧКЧлен клуба (П)

    Иначе говоря - те кто использует Muse защищены лучше чем те кто использует WordPress. Верно?:)
    Да - такой вариант то же подойдёт, если в Вашем курсе будет отдельный раздел, посвящённый защите сайтов на Muse. :)
     
  10. trance

    trance trance СкладчикСкладчик

    В плане скриптов да, потому что по умолчанию там почти голые html странички и нет никаких cms.
     
  11. Адуван

    Адуван Адуван БанЗабанен

    Даже судя по опросу становится понятно, что курс по сути бесполезен. Взламывали сайт у 1-го ))) И у каких-то знакомых чьих-то, тем более не знай на чем были сайты этих знакомых, скорее всего не на Wordpress вовсе а на какой-нить джумле 1.5 ))). Чтобы сайт не взломали надо тупо обновлять CMS и все плагины. Ну еще можно закрыть прямой доступ к странице авторизации. И ВСЕ, ПРОБЛЕМ НЕ БУДЕТ! ))) А вообще если кто-то целенаправленно захочет сайт взломать, опытный хакер, то ничего не спасет, хоть на на бесплатном Вордпрессе сайт, хоть на дорогущем Битриксе. У меня была беда со взломами, когда все сайты были на одном серваке и на CMS джумла, все было из-за того, что я забивал на обновления системы управления. После того, как стал регулярно следить за обновлениями все прекратилось, а потом и вовсе ушел с джумлы, поняв что это полное говно.
     
  12. trance

    trance trance СкладчикСкладчик

    Судить о чем то по опросу как минимум глупо, статистика не репрезентативна. К тому же есть мнение что ± 55% людей даже не знают что их сайт был взломан. Да и далеко не все на форуме подоходят под ЦА курса, у большенства тут даже нет сайтов.

    Судить о полезности или бесполезности не видя материала тоже...

    Обновление и закрытие прямого доступа авторизации решает только малую часть проблем которые могут быть. То что это помогло в вашем случае говорит о том что это помогло именно вам, именно в том случае, и не факт что в другом случае это сработает так же.
     
  13. trance

    trance trance СкладчикСкладчик

    Попалась статистика взломов wp за 2013 год
    [​IMG]

    41%, больше всего, дырки хостингов
    29% уязвимости в шаблонах
    22% уязвимости плагинов
    8% слабый пароль

    К сожалению, сейчас статистика думаю не сильно изменилась :( Записывайтесь в складчину, разберем все эти моменты.

    Источник
     
  14. maspan

    maspan maspan ЧКЧлен клуба

    При чем здесь CMS Wordpress и HTML конструктор-редактор Муся )) ?. Сюр какой-то )) Мол, зачем мне холодильник, если я не курю? Простите ))
     
  15. Boneko

    Boneko Boneko ЧКЧлен клуба (П)

    А для Adobe Muse можете разыскать статистику? :)
     
    Последнее редактирование: 20 июн 2016
  16. Boneko

    Boneko Boneko ЧКЧлен клуба (П)

    trance, Вы могли бы дополнить свой курс решением вот ещё какого вопроса:
    "Как защитить видео-контент на сайте?" :rolleyes:
     
  17. trance

    trance trance СкладчикСкладчик

    Вряд ли кто то вообще делал подобную статистику для Muse, это ведь даже не CMS.

    Видео-контент на сайте в каком виде ? Защитить от копирования ?
     
  18. Boneko

    Boneko Boneko ЧКЧлен клуба (П)

    Он-лайн просмотр.
    Да, в первую очередь интересуют именно технические средства защиты от копирования. Оттолкнитесь от того - как защищают свой видео контент Netflix и Linux Academy. Однако если у Вас останутся силы, то будет не плохо если для полноты картины Вы ещё сделаете обзор и на юридические средства защиты.
     
  19. trance

    trance trance СкладчикСкладчик

    С юридической стороной я не силен, не знаю как оно там устроено.

    С технической, как по мне это бесполезное занятие. Максимум что можно это немного усложнить скачивание. Хз как устроены Netflix и Linux Academy, у меня там нет аккаунтов а просто видео в открытом виде я не нашел, но думаю что там скорей всего видео отдается потоком, для него тоже есть софт который может выдернуть. И даже если софт не справится, что вряд ли, видео можно просто снять чем нибудь вроде камтазии с экрана и все, ничего не поможет.
     
    Tom Riddle нравится это.
  20. Boneko

    Boneko Boneko ЧКЧлен клуба (П)

    Уж лучше так чем ни как! Прокачаете эту тему? :)
     
  21. trance

    trance trance СкладчикСкладчик

    Окей, сделаю блок про это ;)
     
    knobx и Boneko нравится это.

Поделиться этой страницей

  1. Сбор взносов (Дизайн и креатив):
  2. Нужен организатор (Дизайн и креатив):