Опасность просмотра содержимого директорий

Добрый день, дорогие читатели!

Достаточно часто на сайтах включена опция просмотра содержимого директорий. Иными словами: пользователю доступен список всех файлов и директорий при обращении вида http://site.com/wp-content/plugins/. Вот так он может выглядеть:

 

Листинг директории

Листинг директории

В чем же заключается опасность такой конфигурации? Такой вопрос часто задают пользователи нашего сервиса weBBez, который умеет определять такие директории.

Давайте рассмотрим это на примере нашумевшей уязвимости в плагине Revolution Slider, которая была обнаружена и активно использовалась злоумышленниками этим летом. Она позволяла за один запрос получить содержимое любого файла в контексте блога на WordPress. Логично, что все нацеливались на файл wp-config.php, который содержит конфиденциальную информацию (более подробно об этом файле вы можете прочитать в нашей статье).

Подавляющее большинство сайтов, на которых был установлен этот плагин, злоумышленники получали из Google, вот таким запросом inurl:/wp-content/plugins/revslider/.

Плагин revslider с помощью Google

Плагин revslider с помощью Google

Роботы поисковой системы смогли проиндексировать директорию, в которой перечислены все установленные плагины.

Давайте убедимся, что все результаты получены исключительно для тех сайтов, где открыт листинг. Запрос inurl:/wp-content/plugins/revslider/ «index of» попросит Google вернуть только те результаты, где встречается фраза «index of» (характерный признак открытых директорий).

Открытые директории с indexof

Открытые директории с indexof

Как мы видим, количество результатов только увеличилось. Таким образом, в первую очередь под удар попадают сайты с таким недостатком конфигурации.

А теперь представим себе следующую картину: через неделю исследователи найдут серьезную уязвимость (скажем sql-инъекцию) уже в другом плагине. И в этом случае первыми в списке массового взлома окажутся подобные сайты. Google знает, какие плагины у них установлены. Остается его только спросить об этом 🙂

Ну как, мы вас убедили, что «открытые» директории это плохо?

А теперь пару слов о способах защиты. Не думайте, что использование robots.txt даст надежную защиту. У злоумышленников все равно останется возможность узнать список плагинов за один запрос.

Лучше всего разместите в корне сайта файл .htaccess (если его там еще нет) и поместите туда следующую строчку:

Options All -Indexes

Проверьте, что ваш сайт поддерживает использование файла .htaccess. А теперь обратитесь к директории с плагинами (http://site.com/wp-content/plugins/). Если вы увидите пустую страницу или фразу Forbidden, то все в порядке.

Спасибо за внимание!

Как защитить сайт на Joomla

Уважаемые читатели, эта статья посвящена защите и настройке безопасности не менее популярной CMS — Joomla. Все рекомендации будут относиться к актуальной на данный момент ветке 3.3х. Многие из наших советов будут работать и на предыдущих версиях.

 

Этап установки

В процессе установки CMS необходимо обратить внимание на некоторые апсекты, правильное выполнение которых позволит существенно повысить защищенность вашего сайта.

 

Используйте сгенерированный префикс таблиц

Разработчики третьей версии Joomla (а также ветке 2.5) встроили некоторые механизмы, которые минимизируют выполнение векторов атаки, актуальных для предыдущих версий. Ранее все таблицы в базе данных создавались с использованием префикса jos_, что существенно облегчало выполнение sql-инъекций. Теперь установщик сам генерирует этот префикс, вам же остается только принять его.

Установка joomla - генерация префикса

Установка joomla — генерация префикса

Не стоит заменять его на что-то угадываемое, например, на имя вашего домена.

 

Придумайте имя администратора — не «admin»

Далее необходимо придумать имя администратора сайта и пароль. В качестве логина используйте что-то вроде «director-asa2». Если вы укажете классическое «admin», то подобрать параметры доступа будет существенно проще.

Установка joomla - имя администратора

Установка joomla — имя администратора

При установке пароля обратите внимание на отсутствие индикатора стойкости.  Для выбора надежного значения лучше воспользуйтесь одним из онлайн сервисов по генерации паролей.

 

Не используйте FTP

Использование ftp-протокола — это потенциальная угроза безопасности. Причина — передача пароля и данных в «открытом» виде (нешифрованный протокол).

Для администрирования сайта рекомендуем использовать SSH или SFTP. В этом случае весь сеанс связи зашифрован. Большинство хостингов предоставляют такую возможность.

По умолчанию использование FTP отключено. В качестве альтернативы можете воспользоваться одним из плагинов в официальном репозитории extensions.joomla.org, например, ProFiles.

Установка joomla - не использовать FTP

Установка joomla — не использовать FTP

 

Удалите директорию «installation/»

После завершения установки система предложит удалить директорию installation. Выполните это требование, так как ее наличие позволит злоумышленнику «затереть» ваш сайт новой установкой. Если вы удалили директорию непосредственно на файловой системе (а не воспользовались кнопкой в установщике), не забудьте также удалить файл joomla.xml, который содержит точную версию вашей CMS.

 

Этап эксплуатации

Не стоит думать, что по окончанию установки можно забыть о мерах безопасности. Как правило, в базовой комплектации система наименее подвержена компрометации. Риски возрастают при расширении функциональности, добавлении пользователей и т.д.

 

Обновляйте ядро, установленные плагины и темы

Базовый принцип всех CMS — своевременное обновление ядра системы и установленных плагинов. О наличии обновлении вы можете узнать на главной странице панели управления.

Настройка joomla - проверка обновлений

Настройка joomla — проверка обновлений

Для повышения отказоустойчивости вашего сайта рекомендуется делать резервные копии при установки новых версий ядра CMS. Для этого воспользуйтесь плагином Akeeba Backup версии не ниже 4.0.5.

 

Не используйте неподдерживаемые версии Joomla: 1.0х, 1.5х, 1.6х и 1.7х

Если вы давно используете Joomla, то возможно версия вашей системы уже официально не поддерживается (это касается всей ветки 1х) или скоро перестанет поддерживаться (ветка 2.5 официально заканчивается 31 декабря 2014 года). Мы рекомендуем задуматься о миграции на актуальную версию 3.3х. На официальном сайте joomla.org представлены руководства для перехода со старых версий.

Так же существуют плагины для автоматического апгрейда CMS (Migrate Me).

Настройка joomla - расширение migrate me

Настройка joomla — расширение migrate me

 

Проверьте используемые плагины в списке уязвимых

Думаю не секрет, что вы знаете о потенциальной угрозе безопасности, которую несет каждый устанавливаемый плагин. Чтобы минимизировать этот риск следует выполнять простые правила:

  • использовать расширения только из официального репозитория extensions.joomla.org
  • перед установкой проверять наличие расширение в списке уязвимых — http://vel.joomla.org/index.php/live-vel

 

Используйте предоставляемый .htaccess-файл

Дистрибутив CMS Joomla версии 3.3х поставляется совместно с файлом htaccess.txt, который содержит правила для защиты от широко известных векторов атак на эту CMS. Вам необходимо переименовать этот файл в .htaccess, чтобы он использовал для защиты возможности веб-сервера Apache, или вставьте следующие строки в уже существующий файл:

RewriteEngine On
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
RewriteRule .* index.php [F]

Данные правила будут работать, если на сервере установлен модуль mod_rewrite.

 

Используйте ЧПУ-ссылки

Многие сканеры, которые эксплуатируют уязвимости в joomla, получают списки сайтов из google. Для этого используется техника Google XAK, а конкретно для нас может использоваться вот такой запрос inurl:index.php?option=com_jce. Поисковик выведет список сайтов, на которых установлен плагин JCE.

Чтобы затруднить работу сканерам и одновременно улучшить SEO нашего сайта следует использовать ЧПУ-ссылки:

Настройка joomla - включить ЧПУ

Настройка joomla — включить ЧПУ

Это можно сделать перейдя в панели управления «Общие настройки» -> «Сайт» -> «Настройки SEO».

 

Защитите панель администрирования

Панель управления сайтом для CMS Joomla расположена по адресу site.com/administrator/. Если сайт использует стандартные настройки, то любой пользователь, зная логин и пароль, может управлять сайтом. Полагаться только на уникальность логина и стойкость пароля не достаточно.

Начиная с версии 3.2.0 в CMS внедрена возможность использования двухфакторной аутентификации. Мы настоятельно рекомендуем включить эту опцию. В этом случае помимо пароля пользователю нужно знать еще и уникальный ключ.

Настройка joomla - включение двухфакторной аутентификации

Настройка joomla — включение двухфакторной аутентификации

Включить и настроить эту опцию можно в разделе «Пользователи» -> «Менеджер пользователей» -> Имя вашего пользователя -> «Двухфакторная аутентификация». Воспользуйтесь одним из механизмов: Google Authenticator или YubiKey (мы протестировали Google Authenticator — все заработало с первого раза).

Вот так будет выглядеть форма входа в панель администрирования:

Настройка joomla - двухфакторная аутентификация

Настройка joomla — двухфакторная аутентификация

Для изменения адреса формы входа можно воспользоваться плагином AdminExile. С его помощью можно установить ключ, который предоставит доступ для входа в панель администрирования (например,site.com/administrator/index.php?myadmin). Если его не указать, то произойдет автоматический редирект на главную страницу вашего сайта.

Настройка joomla - плагин  adminexile

Настройка joomla — плагин adminexile

Этот же плагин позволит установить список ip-адресов, для которых разрешен доступ в панель управления, и защитит от брутфорса. Устанавливайте плагин версией не нежи 2.3.6.

 

Защитите конфигурационный файл configuration.php

Файл configuration.php расположен в корневой директории Joomla (http://example.com/configuration.php). В нем содержатся параметры подключения к базе данных, ключ шифрования, префикс таблиц, параметры ftp (при использовании).

Если файл будет доступен для злоумышленников, то у них появляется реальный шанс получить полный доступ до вашего сайта. На очень многих хостингах установлена панель управления базой данных — phpMyAdmin.  Использование параметров из файла configuration.php позволит пройти авторизацию в этой панели.

Основная причина доступности файла — небезопасная конфигурация. Достаточно  часто администратор сайта создает резервные копии вида:

  • сonfiguration.php.old
  • сonfiguration.php1
  • сonfiguration.php.test
  • сonfiguration.php~

При использовании таких имен файлы перестают обрабатываться как php-скрипты. При прямом запросе (например, http://example.com/сonfiguration.php.old) злоумышленник получит все содержимое.

Не храните резервные копии конфигурационного файла в пределах вашего сайта. Для дополнительной защиты поместите следующий код в файл .htaccess, расположенный в корне сайта:

<Files ~ «^configuration\.»>
    Order allow,deny
    Deny from all
    Satisfy all
</Files>

Так вы заблокируете доступ к этому файлу (и всем его копиям) средствами веб-сервера.

 

Настройте права доступа для ключевых файлов и директорий

Как правило, при проведении атаки злоумышленник пытается записать свой код в уже существующие файлы системы. Таким образом он хочет дополнить эти файлы скрытым функционалом. Для того чтобы максимально затруднить его задачу необходимо выставить определенные права на ключевые файлы и директории. Для CMS Joomla:

  • 444 на site.ru/index.php
  • 444 на site.ru/configuration.php
  • 444 на site.ru/templates/ваш шаблон/index.php
  • 555 на директорию site.ru/templates/ваш шаблон/

Не забудьте временно изменить права на 644 для файла configuration.php, когда будете вносить изменения в панели администрирования.

 

Запретите свободную регистрацию пользователей

Если бизнес-модель вашего сайта не подразумевает регистрацию пользователей, то вам необходимо ее отключить в панели управления CMS. По умолчанию она включена.

Для отключения перейдите в панель «Пользователи» -> «Менеджер пользователей» -> «Настройки».

Настройка joomla - запрет на регистрацию

Настройка joomla — запрет на регистрацию

Некоторые уязвимости требуют для своей реализации зарегистрированного пользователя. При отключении авторегистрации эксплуатация будет затруднена. Если же регистрация нужна, тогда включите уведомление администратора.

 

Перенесите директории «logs/» и «tmp/» за пределы сайта

Служебные директории logs и tmp по умолчанию находятся в корневой директории сайта. Мы рекомендуем перенести их за пределы «видимости». Как правило это на один уровень выше их текущего положения на файловой системе.

Сначала переместите директории, а потом установите соответствующий путь в панели администрирования («Общие настройки»).

Настройка joomla - перенос логов

Настройка joomla — перенос логов

Настройка joomla - перенос tmp

Настройка joomla — перенос tmp

 

Используйте плагины безопасности

Достаточно много расширений для повышения безопасности CMS представлено в официальном репозитории. Есть среди них как платные, так и бесплатные решения. Попробуйте начать с «Admin Tools«. Его основные возможности:

  • экстренный перевод сайт в оффлайн режим
  • список ip-адресов, для которых разрешен доступ в панель администрирования
  • редактирование префикса таблиц в базе данных
  • Web Application Firewall
  • менеджер расширений файлов
  • дополнительная защита панели администрирования с помощью .htaccess
Настройка joomla - расширение admin tools

Настройка joomla — расширение admin tools

 

Блокируйте небезопасные запросы

Для защиты от наиболее опасных типов уязвимостей (sql-инъекций и lfi) вы можете воспользоваться плагином Marco’s SQL Injection.

Настройка joomla - расширение marcos

Настройка joomla — расширение marcos

Основные возможности расширения:

  • фильтрация и блокировка sql-инъекций и lfi в запросах GET, POST, REQUEST
  • уведомление администратора по электронной почте
  • белый список компонентов, для которых не применять защиту
  • блокирование ip-адреса злоумышленника

 

Используйте механизмы для активного аудита

Если вы читали нашу статью о защите блога на WordPress, то в одном из пунктов мы рассказывали о сканере WPScan. Он позволяет просканировать блог снаружи и определить наиболее уязвимые места.

К сожалению аналогичного уровня сканера для Joomla в настоящее время нет. Joomscan от OWASP можно не брать в расчет. Продукт не обновлялся с мая 2013 года, список уязвимых плагинов также далек от сегодняшнего дня.

Для внешнего аудита безопасности воспользуйтесь нашим SaaS-решением: weBBez. Непосредственно для CMS Joomla мы умеем:

  • искать копии конфигурационного файла
  • осуществлять поиск уязвимых плагинов
  • обнаруживать ошибки администрирования CMS
  • осуществлять поиск сигнатур Joomla-вирусов на вашем сайте

 

Вывод. Для защиты вашего сайта на основе cms Joomla рекомендуется выполнить следующие шаги и рекомендации:

  • используйте сгенерированный префикс таблиц
  • придумайте имя администратора — не «admin»
  • не используйте FTP
  • удалите директорию «installation/»
  • обновляйте ядро, установленные плагины и темы
  • не используйте неподдерживаемые версии Joomla: 1.0х, 1.5х, 1.6х и 1.7х
  • проверьте используемые плагины в списке уязвимых
  • используйте предоставляемый .htaccess-файл
  • используйте ЧПУ-ссылки
  • защитите панель администрирования
  • защитите конфигурационный файл configuration.php
  • настройте права доступа для ключевых файлов и директорий
  • запретите свободную регистрацию пользователей
  • перенесите директории «logs/» и «tmp/» за пределы сайта
  • используйте плагины безопасности
  • блокируйте небезопасные запросы
  • используйте механизмы для активного аудита

 

Ссылки на упомянутые программные продукты и сервисы:

  • Joomla — http://joomla.org
  • официальный репозиторий — http://extensions.joomla.org
  • ProFiles — http://extensions.joomla.org/extensions/core-enhancements/file-management/24160
  • Akeeba Backup — http://extensions.joomla.org/extensions/access-a-security/site-security/backup/1606
  • Migrate Me — extensions.joomla.org/extensions/migration-a-conversion/joomla-migration/24238
  • список уязвимых расширений — http://vel.joomla.org/index.php/live-vel
  • AdminExile — http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/15711
  • Admin Tools — http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/14087
  • Marco’s SQL Injection — http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731
  • Joomscan — http://sourceforge.net/projects/joomscan/
  • phpMyAdmin — http://www.phpmyadmin.net/home_page/index.php
  • WPScan — http://wpscan.org/
  • weBBez — http://webbez.ru/

Как защитить блог на WordPress?

В настоящее время резко возросло количество успешных атак на сайты, построенные на основе cms WordPress. Связано это с огромной популярностью системы, разнообразием плагинов и тем оформления, а также хорошо проработанными и автоматизированными механизмами сканирования.

В этой статьей будут представлены практические рекомендации по установке и использованию данной платформы. Выполнение этих советов сведет к минимум возможность успешной атаки на ваш блог.

Этап установки

Измените префикс таблиц

На этапе установки блога укажите произвольный префикс для названия таблиц в базе данных. Это затруднит эксплуатацию такой популярной уязвимости как sql инъекция. В этом случае злоумышленнику сначала потребуется узнать полное название таблиц, чтобы извлечь или внести изменения в данные.

Изменение префикса таблиц

Изменение префикса таблиц

Если на этапе установке вы не изменили префикс, это можно сделать пойзже с использованием специальных плагинов (iThemes Security, Wordfence Security). Вручную этого делать не стоит — велика вероятность ошибки. Перед изменением названий рекомендуется сделать полный бэкап базы.

Измените имя администратора

При установке создается учетная запись администратора с именем «admin». Рекомендуется его изменить на что-то вроде «superuser_12». Этим вы затрудните злоумышленникам автоматизированный подбор пароля, так как по умолчанию подбор пароля производится для пользователя с именем «admin».

Изменить пользователя admin

Изменить пользователя admin

Этап эксплуатации

Обновляйте ядро, установленные плагины и темы

Наверно это самый важный пункт не только для WordPress, но и для всех информационных систем. Использование последней версии ядра и дополнительных компонентов существенно снижает вероятность эксплуатации уязвимостей. Это во многом объясняется экономическими причинами. Так называемые 0day уязвимости стоят немалых денег и получают широкое распространение после выхода исправлений безопасности от разработчиков.

Проверка обновлений wordpress

Проверка обновлений wordpress

Рекомендуется не реже одного раза в неделю (лучше чаще) заходить на панель проверки обновлений («Консоль» -> «Обновления»). С помощью дополнительных плагинов (Updater) можно настроить автоматическую проверку обновлений с уведомлением на почту.

Желательно перед применением обновлений делать резервную копию блога. Воспользуйтесь для этого бесплатным плагином UpdraftPlus с настройкой на удаленное хранение резервных копий.

Защитите панель входа для зарегистрированных пользователей

Панель входа является тем барьером, который разделяет публичную часть сайта и административную. Для cms WordPress панель располагается по адресу example.com/wp-config.php.

Достаточно часто форма авторизации подвергается так называемому брутфорсу (автоматизированному подбору паролей). Противостоять этому вы сможете, если добавите защиту от ботов — Капчу. Можете воспользоваться для этого любым из плагинов, например Captcha.

Защита панель входа

Защита панель входа

Вот так будет выглядеть ваша форма авторизации.

Если на блоге запрещена свободная регистрация пользователей, тогда рекомендуется переместить панель входа по другому адресу (с example.com/wp-config.php на что-то example.com/cont_1243). Это можно сделать с помощью плагина iThemes Security. Изменив адрес, автоматические средства подбора паролей попадут в затруднение.

Перенос панели входа на другой адрес

Перенос панели входа на другой адрес

Так же рекомендуется настроить количество попыток ввода неправильного пароля. После чего ip-адрес, откуда производились попытки, будет на время заблокирован. Используйте тот же плагин.

Защита от брутфорса

Защита от брутфорса

Защитите конфигурационный файл wp-config.php

Файл wp-config.php расположен в корневой директории WordPress (http://example.com/wp-config.php). В нем содержатся параметры подключения к базе данных, ключи шифрования, префикс таблиц и дополнительные настройки.

Если файл будет доступен для злоумышленников, то у них появляется реальный шанс получить полный доступ до вашего сайта. На очень многих хостингах установлена панель управления базой данных — phpMyAdmin.  Использование параметров из файла wp-config.php позволит пройти авторизацию в этой панели.

Основная причина доступности файла — небезопасная конфигурация. Достаточно  часто администратор сайта создает резервные копии вида:

  • wp-config.php.old
  • wp-config.php1
  • wp-config.php.test
  • wp-config.php~

Последний пример в списке создается автоматически некоторыми текстовыми редакторами. При использовании таких имен файлы перестают обрабатываться как php-скрипты. При прямом запросе (например, http://example.com/wp-config.php.old) пользователь получит все содержимое.

Не храните резервные копии конфигурационного файла в пределах вашего сайта. Для дополнительной защиты поместите следующий код в файл .htaccess, расположенный в корне сайта:

<Files ~ «^wp\-config\.»>
    Order allow,deny
    Deny from all
    Satisfy all
</Files>

Так вы заблокируете доступ к этому файлу (и всем его копиям) средствами веб-сервера.

Скройте версию WordPress

Чем больше технической информации о вашем блоге на WordPress доступно для любого пользователя, тем выше шансы на проведение успешных атак. Одним из основных параметров является версия блога.

Номер версии можно посмотреть в двух местах:

  • в файле readme.html (расположен в корне сайта)
  • в html-коде любой страницы блога (meta-теге generator)
Версия WordPress в файле readme.html

Версия WordPress в файле readme.html

С файлом все просто — удалите его.

Для того, чтобы убрать meta-тег generator рекомендуется воспользоваться одним из плагинов в категории «Безопасность» (например, iThemes Security).

iThemes - скрываем версию

iThemes — скрываем версию

Используйте плагины безопасности

Для настройки параметров безопасности блога, поиска признаков вредоносного кода, выполнения внутреннего сканирования рекомендуется установить и настроить специализированные плагины. Признанными лидерами среди них являются iThemes Security и Wordfence Security, которые уже не раз упоминались.

iThemes Security - сниппет плагина

iThemes Security — сниппет плагина

Wordfence Security - сниппет плагина

Wordfence Security — сниппет плагина

Количество настраиваемых параметров и выполняемых функций очень велико. Вот только некоторые из них:

  • контроль изменения файлов
  • защита от брутфорса
  • сокрытие версии WordPress
  • отключение xmlrpc
  • отключение встроенного редактора
  • защита системных файлов
  • отключение листинга директорий
  • фильтр http-методов
  • блокировка подозрительных запросов

Скоро на нашем блоге будут опубликованы специальные статьи, посвященные этим плагинам.

Блокируйте небезопасные запросы

Обновление ядра и плагинов — это важный момент. Но что делать, если описание уязвимости или эксплойт для нее попали в сеть, а исправления разработчики еще не выпустили?

Совсем недавно (30 октября) это произошло с плагинами «CP Multi View Event Calendar» и «Rich Counter«. Рекомендовалось их немедленно удалить, пока не будет выпущено обновление.

В таких ситуациях может помочь использование Web Application Firewall. Специальное программное обеспечение, которое пропускает запросы пользователей через собственные фильтры и, если обнаруживает признаки атак, блокирует их. Очень известный продукт — ModSecurity (модуль для веб-сервера Apache).

Пользователям WordPress повезло: функции фильтрации запросов встроены в уже рассмотренные плагины (iThemes Security и Wordfence Security). Необходимо указать максимальное количество и тип символов в запросах пользователей.

IThemes: блокировка длинных URL

IThemes: блокировка длинных URL

iThemes: блокирование подозрительных URL

iThemes: блокирование подозрительных URL

Такой подход защитит ваш блог от следующих уязвимостей:

  • sql-инъекции
  • xss
  • lfi и rfi инклюдинг

Используйте механизмы для активного аудита (пентестинг)

Полезно посмотреть на свой блог глазами злоумышленника. В большинстве случаев для автоматизированного тестирования сайтов на WordPress используется бесплатный сканер WPScan.

Стартовая страница сканера

Стартовая страница сканера

Мы рекомендуем ознакомиться с этим инструментом и периодически запускать для проверки своего блога. Его основные возможности:

  • определение версии WordPress и наличие в ней известных уязвимостей
  • поиск установленных плагинов и тем, а также найденные в них уязвимости
  • проверка использования простых паролей
Определение версии WordPress

Определение версии WordPress

Из минусов стоит отметить, что проблематично установить сканер на Windows-платформу.

Важно именно периодическое использование сканера. Сегодня он ничего не покажет, а через неделю продемонстрирует критическую уязвимость в используемом плагине из обновленной базы.

Вы можете воспользоваться нашим сервисом weBBez. Просто добавьте ваш сайт для постоянного контроля безопасности и получайте еженедельные pdf-отчеты на почту.

 

Не используйте FTP

Использование ftp-протокола — это потенциальная угроза безопасности. Причина — передача пароля и данных в «открытом» виде (нешифрованный протокол).

Для администрирования сайта рекомендуем использовать SSH или SFTP. В этом случае весь сеанс связи зашифрован. Большинство хостингов предоставляют такую возможность.

Стоит отметить, что в последних релизах WordPress для установки плагинов и тем cms требует наличие ftp-подключения. Для отключения этой функции добавьте в конец файла wp-config.php следующую строку:

define(‘FS_METHOD’, ‘direct’);

 

Вывод. Для защиты вашего сайта на основе cms WordPress рекомендуется выполнить следующие шаги и рекомендации:

  • измените префикс таблиц
  • измените имя администратора
  • обновляйте ядро, установленные плагины и темы
  • защитите панель входа для зарегистрированных пользователей
  • защитите конфигурационный файл wp-config.php
  • скройте версию WordPress
  • используйте плагины безопасности
  • блокируйте небезопасные запросы
  • используйте механизмы для активного аудита
  • не используйте FTP

Ссылки на упомянутые программные продукты:

  • iThemes Security — https://wordpress.org/plugins/better-wp-security/
  • Wordfence Security — https://wordpress.org/plugins/wordfence/
  • Updater — https://wordpress.org/plugins/updater/
  • UpdraftPlus — https://wordpress.org/plugins/updraftplus/
  • Captcha — https://wordpress.org/plugins/captcha/
  • phpMyAdmin — http://www.phpmyadmin.net/home_page/index.php
  • ModSecurity — https://www.modsecurity.org/
  • WPScan — http://wpscan.org/
  • weBBez — http://webbez.ru/