Открыто

Защита сайта на Wordpress от взлома

Тема в разделе "Дизайн и креатив", создана пользователем trance, 19 май 2016.

?

Ваш сайт взламывали ?

  1. Да

    64 голосов
    40,8%
  2. Нет

    30 голосов
    19,1%
  3. Возможно, я не знаю

    20 голосов
    12,7%
  4. Сайты моих знакомых взламывали

    13 голосов
    8,3%
  5. Я сам взлымывал

    4 голосов
    2,5%
  6. У меня нет сайта

    26 голосов
    16,6%
Цена: 490р.
Взнос: 490р.

Основной список: 12 участников

Резервный список: 11 участников

Статус обсуждения:
Комментирование ограничено.
  1. 19 май 2016
    #1
    trance
    trance СкладчикСкладчик

    Защита сайта на Wordpress от взлома

    Есть ли у вас 100% уверенность, что ваши сайты в данный момент не взломаны или их не взломают, в то время, когда вы будете отдыхать?

    В большинстве случаев, владельцы сайтов об этом даже не догадываются о взломе, что может привести к :

    • С вашего сайта производится СПАМ-рассылка писем.
    • В поисковой выдаче вы находитесь значительно ниже, чем должны быть или вообще отсутствуете, ваш сайт помечен как опасный.
    • С вашего сайта продают ссылки и уводят посетителей.
    • Пользователей вашего сайта заражают вирусами.
    • Могут размесить дорвей (спамный контент) из за которого у вас потом долго будут проблемы с поисковыми системами.
    • У вас крадут ваших клиентов и их личные данные.
    • Ваши секретные данные уже давно известны вашим конкурентам.

    Задумайтесь, сколько времени и денег вы можете потерять если такое вдруг случиться ? Что будет если вдруг ваш сайт, который приносит например 30 000 рублей с рекламы вдруг окажется зараженным, поисковые системы пессимизируют его, или вообще выкинут из выдачи. Трафика не будет и денег тоже, потом еще несколько месяцев восстанавливать прежние позиции если вообще выйдет... А что будет если пользователей которых вы покупаете например в директе будут заражать вирусом или перенаправлять куда то в другое место ? Одни расстройства.

    Тут даже не имеет значения, пользуется ли ваш сайт популярностью или нет, его рано или поздно его попытаются взломать.

    Каждое веб-приложение на PHP в среднем содержит 11 критически опасных уязвимостей. … (выдержка из статьи*)

    Печальная статистика уязвимостей по данным Positive Technologies (компания является одним из лидеров на рынке Европы и РФ)

    *Подробно ознакомиться со статистикой можно тут



    [​IMG]

    Как видите:

    ~70% сайтов уязвимы к XSS (cross site scripting), многие кстати недооценивают опасность XSS, но ей можно не только красть куки для авторизации, но использовать ее для заливки шела, не напрямую конечно, но возможностей достаточно

    ~48% к sql injection, ~40% были уязвимы к подбору паролей и сдались

    ~55% Session Prediction, позволяет перехватывать сессии других пользователей

    ~40% Insufficient Authorization, дает доступ к информации без авторизации, например к части админ панели

    ~35% CSRF (Cross-Site Request Forgery), хакер сможет выполнять какие то действия на сайте от имени другого человека, например добавить нового админа или залить шел если админка позволяет, в wp конечно изначально есть защита от этого, но в некоторых случаях ее может не быть, плюс вместе с XSS при удачном стечении обстоятельств эту защиту можно обойти.

    От себя могу еще сказать что в маленьких проектах которые пишутся с нуля очень часто, почти всегда, нет защиты от CSRF, об этом просто никто не думает а зря. И это касается всех дополнений для wp, их пишут сторонние люди...

    Я сам лично, пока проводил исследование качал случайно несколько разных плагинов и каждый был уязвим. Хорошо если там будут просто какие то мелкие настройки, особо не влияющие на работу сайта, но что если там будет например возможно что залить свой файл или отредактировать уже существующий ? Все беда.

    Это такие, наиболее опасные вещи из статистики.

    Wordpress к слову тоже сделан на php, хотя конечно из в нем нет такого количества уязвимостей сейчас. WP популярен, его много и постоянно исследуют все кому не лень и это помогает.

    Однако это не относиться к куче дополнений к движку, в большинстве случаев их пишут менее опытные программисты и уязвимостей там в разы больше, их постоянно находят и не всегда хорошие люди.

    Стоимость

    Почему так дешево ? Аудитория складчика располагает отдавать дешево, обычно скупают все по минимальным ценам, редко когда что то продается дорого.

    490 руб. цена маленькая, это буквально раз пойти куда то поесть. По сравнению с аудитами безопасности сайтов, которые стоят от 10 до 90 000 руб (не буду рекламить ссылки, можете просто забить в яндексе "аудит безопасности сайта" и сами посмотреть), это совсем копейки. Хотя конечно, смотря кто и что делает, цены могут разниться еще больше. Даже просто почистить шаблон, сайт от вирусов стоит на фрилансе пару тысяч рублей, но там конечно никто не будет искать как туда попал вирус и латать дыры.

    Но изучив материал вы конечно не станете опытным пентестером / специалистом по безопасности, у вас будет нужная база чтобы предотвратить большую часть атак на свои сайты.


    Мы разберем с вами все аспекты работы от А до Я. Особый момент уделим защите wordpress движка. Хотя конечно большую часть можно перенести и на другие CMS по аналогии, но рассматривать все будем на примере wp. Выстроим защиту по максимуму из изначальных данных, сделаем так чтобы даже если кто-то чудесным образом сможет попасть в админку не сможет ничего сделать и еще много чего...

    Кроме защиты рассмотрим так же что делать если вы уже заразились, варианты поиска шелов, удаления вирусов, бэкдоров, левых ссылок.

    В общем если у вас есть сайт на wordpress или вы думаете завести сайт на wordpress то записывайтесь в складчину, материал будет полезен не только новичкам.
     
    5 пользователям это понравилось.
  2. Последние события

    1. testirovshik
      testirovshik не участвует.
      11 янв 2024
    2. Mtv Gru
      Mtv Gru не участвует.
      30 апр 2023
    3. Wanderer2006
      Wanderer2006 не участвует.
      15 мар 2023
    4. Stan777
      Stan777 участвует.
      21 дек 2022
  3. Обсуждение
  4. 19 май 2016
    #2
    Dire
    Dire ОргОрганизатор
    Не увидел в стартпосте какие конкретно вопросы будут рассмотрены. Примерный план или оглавление курса было бы очень кстати.
    Могу взять по проверку. Опыт в WP достаточный.
     
    7 пользователям это понравилось.
  5. 19 май 2016
    #3
    Boneko
    Boneko ЧКЧлен клуба (П)
    Вы можете в будущем адаптировать Ваш курс, рассматривая защиту сайта на примере Adobe Muse?
     
    1 человеку нравится это.
  6. 19 май 2016
    #4
    Adekvatnii chelovek
    Adekvatnii chelovek ШтрафникШтрафник
    будет рассматриваться настройка таких бесплатных плагинов безопасности как wordfence, ithemes security или что-то еще будет в курсе ? Хотелось бы увидеть план курса, пока что это кот в мешке.
     
    2 пользователям это понравилось.
  7. 20 май 2016
    #5
    trance
    trance СкладчикСкладчик
    Основные блоки:
    1. Организация инфраструктуры
    2. Работа с сайтом
    3. Если вас уже взломали - варианты поиска и удаления шелов, вирусов, бэкдоров

    Сейчас материал еще дописывается и правится, как будет готово напишу вам для проверки.

    По поводу скриптов которые выдает Muse можете не беспокоиться, там нечего ломать т.к. если не использовать каких либо дополнений то там просто html странички и простые обработчики форм.
    Там больше опасности что взломают каким либо другим способом, например через соседний сайт на сервере или украдут пароли от ftp. В курсе эти вопросы будут подыматься.

    Пока писал подумал что в принципе можно описать еще более подробно что делать в общем, для любых сайтов, взять больше примеров.

    Я описывал этот момент в конце статьи, прям какого то подробного плана курса нет, основные блоки описаны чуть выше. Будет не только работа с плагинами wp.

    PS кто еще обладает статусом и хочет взять на проверку отпишите мне.
     
    2 пользователям это понравилось.
  8. 20 май 2016
    #6
    Boneko
    Boneko ЧКЧлен клуба (П)
    Не сочтите за невежество, но я не хочу проходя курс тратить время на отсеивание информации по принципу "это общее - значит мне подойдёт".:oops:

    На Cкладчике много фанатов Adobe Muse! Вы можете создать отдельную складчину с адаптированной версией Вашего курса, рассматривая защиту сайта на примере Adobe Muse? :rolleyes:
     
    1 человеку нравится это.
  9. 21 май 2016
    #7
    trance
    trance СкладчикСкладчик
    Еще раз повторюсь что в плане скриптов для Adobe Muse там особо нечего защищать, т.к. и ломать то нечего там почти всегда.

    Отдельную складчину под Muse наверно создавать не особо имеет смысл сейчас. Но окей, в качестве бонуса рассмотрю более подробно и для Muse в этой складчине.
     
  10. 21 май 2016
    #8
    Boneko
    Boneko ЧКЧлен клуба (П)
    Иначе говоря - те кто использует Muse защищены лучше чем те кто использует WordPress. Верно?:)
    Да - такой вариант то же подойдёт, если в Вашем курсе будет отдельный раздел, посвящённый защите сайтов на Muse. :)
     
  11. 22 май 2016
    #9
    trance
    trance СкладчикСкладчик
    В плане скриптов да, потому что по умолчанию там почти голые html странички и нет никаких cms.
     
  12. 23 май 2016
    #10
    Адуван
    Адуван БанЗабанен
    Даже судя по опросу становится понятно, что курс по сути бесполезен. Взламывали сайт у 1-го ))) И у каких-то знакомых чьих-то, тем более не знай на чем были сайты этих знакомых, скорее всего не на Wordpress вовсе а на какой-нить джумле 1.5 ))). Чтобы сайт не взломали надо тупо обновлять CMS и все плагины. Ну еще можно закрыть прямой доступ к странице авторизации. И ВСЕ, ПРОБЛЕМ НЕ БУДЕТ! ))) А вообще если кто-то целенаправленно захочет сайт взломать, опытный хакер, то ничего не спасет, хоть на на бесплатном Вордпрессе сайт, хоть на дорогущем Битриксе. У меня была беда со взломами, когда все сайты были на одном серваке и на CMS джумла, все было из-за того, что я забивал на обновления системы управления. После того, как стал регулярно следить за обновлениями все прекратилось, а потом и вовсе ушел с джумлы, поняв что это полное говно.
     
  13. 23 май 2016
    #11
    trance
    trance СкладчикСкладчик
    Судить о чем то по опросу как минимум глупо, статистика не репрезентативна. К тому же есть мнение что ± 55% людей даже не знают что их сайт был взломан. Да и далеко не все на форуме подоходят под ЦА курса, у большенства тут даже нет сайтов.

    Судить о полезности или бесполезности не видя материала тоже...

    Обновление и закрытие прямого доступа авторизации решает только малую часть проблем которые могут быть. То что это помогло в вашем случае говорит о том что это помогло именно вам, именно в том случае, и не факт что в другом случае это сработает так же.
     
    2 пользователям это понравилось.
  14. 26 май 2016
    #12
    trance
    trance СкладчикСкладчик
    Попалась статистика взломов wp за 2013 год
    [​IMG]

    41%, больше всего, дырки хостингов
    29% уязвимости в шаблонах
    22% уязвимости плагинов
    8% слабый пароль

    К сожалению, сейчас статистика думаю не сильно изменилась :( Записывайтесь в складчину, разберем все эти моменты.

    Источник
     
  15. 12 июн 2016
    #13
    maspan
    maspan ЧКЧлен клуба
    При чем здесь CMS Wordpress и HTML конструктор-редактор Муся )) ?. Сюр какой-то )) Мол, зачем мне холодильник, если я не курю? Простите ))
     
  16. 20 июн 2016
    #14
    Boneko
    Boneko ЧКЧлен клуба (П)
    А для Adobe Muse можете разыскать статистику? :)
     
    Последнее редактирование модератором: 20 июн 2016
  17. 20 июн 2016
    #15
    Boneko
    Boneko ЧКЧлен клуба (П)
    trance, Вы могли бы дополнить свой курс решением вот ещё какого вопроса:
    "Как защитить видео-контент на сайте?" :rolleyes:
     
  18. 20 июн 2016
    #16
    trance
    trance СкладчикСкладчик
    Вряд ли кто то вообще делал подобную статистику для Muse, это ведь даже не CMS.

    Видео-контент на сайте в каком виде ? Защитить от копирования ?
     
  19. 21 июн 2016
    #17
    Boneko
    Boneko ЧКЧлен клуба (П)
    Он-лайн просмотр.
    Да, в первую очередь интересуют именно технические средства защиты от копирования. Оттолкнитесь от того - как защищают свой видео контент Netflix и Linux Academy. Однако если у Вас останутся силы, то будет не плохо если для полноты картины Вы ещё сделаете обзор и на юридические средства защиты.
     
  20. 21 июн 2016
    #18
    trance
    trance СкладчикСкладчик
    С юридической стороной я не силен, не знаю как оно там устроено.

    С технической, как по мне это бесполезное занятие. Максимум что можно это немного усложнить скачивание. Хз как устроены Netflix и Linux Academy, у меня там нет аккаунтов а просто видео в открытом виде я не нашел, но думаю что там скорей всего видео отдается потоком, для него тоже есть софт который может выдернуть. И даже если софт не справится, что вряд ли, видео можно просто снять чем нибудь вроде камтазии с экрана и все, ничего не поможет.
     
    1 человеку нравится это.
  21. 22 июн 2016
    #19
    Boneko
    Boneko ЧКЧлен клуба (П)
    Уж лучше так чем ни как! Прокачаете эту тему? :)
     
  22. 22 июн 2016
    #20
    trance
    trance СкладчикСкладчик
    Окей, сделаю блок про это ;)
     
    2 пользователям это понравилось.
Статус обсуждения:
Комментирование ограничено.

Поделиться этой страницей