За защита на WordPress сайт от хакери и ботове може да се използват много и различни прийоми. Това, което трябва да се запитаме първо е ‘защо трябва да защитим сайта си?’
Какво е WordPress и защо е обект на атаки?
На първо място, WordPress е CMS (Content Management System) или система за менажиране на съдържанието. Първоначално изградена като блог, WordPress може да бъде надстройван до неузнаваемост и в днешно време може да се използва за почти всичко – от обикновени бизнес сайтове, до социални мрежи, сайтове за запознанства, обяви, онлайн магазини и други. Тя е с отворен код и е най-популярната система в света. Отвореният код означава, че може да свалите цялата начална структура на системата на Вашият компютър. С достатъчно познания по кодиране, можете да разберете как точно работи. А когато знаете как работи едно нещо, знаете и как да го накарате да не работи. Тази информация често се използва от хакерите по света.
WordPress има стандартни файлове, които е доста трудно да бъдат променени/пренаписани така, че да не може да се стигне до конфигурацията, която сървъра използва. Данните на WordPress се съхраняват в база от данни, а данните за достъп до тази база данни се намират в един-единствен файл, наречен wp-config.php. Административната част на WordPress също е стандартна и тя се менажира чрез директорията ‘wp-admin’. Знаейки това, хакерите обикновено се опитват да получат достъп или до базата с данни, до административната част, или и двете.
Как може да се получи достъп до тези данни?
За да се добавят различни функционалности и визии в WordPress се използват притурки – плъгини или готови теми. И в двата случая, те се инсталират към апликацията и получават свой достъп до базата данни. В много случаи, хакерите използват точно това, за да се ‘вмъкнат’ в базата данни и да откраднат информацията за достъп до сайта. Това обикновено става чрез остарели плъгини, теми, които по принцип са платени, но се свалят от сайтове, които ги предлагат безплатно и прочие. Един начин да се предпазим от това е да обновяваме системата редовно. Много често, собствениците на сайтове виждат различни плъгини, за които WordPress показва налични актуализации, но не ги актуализират. Това води до опасност за целия сайт, възможност за кражба на информация или цялостен разрив във функционалността му. Преди няколко години бе популярен код, с който нищо неподозиращи посетители на новинарски сайтове бяха използвани за копаене на криптовалути.
Защо е нужно да се предпазим от хакерски атаки?
На първо място, за да можем да твърдим, че информацията за нашите потребители/посетители е защитена. Не бихте желали всички Ваши клиентски данни да бъдат ‘източени’. Също така, това е начин да сме в крак с изискванията за GDPR и когато казвате, че не отдавате лични данни на трети лица, това в действителност е така. Освен с възможността за кражба на информация, един злонамерен хакер може да атакува сайта Ви с така наречената IP бомба. Това е постоянно достъпване на сайта Ви, което повишава сървърните ресурси и обикновено е причина за спирания на сайтове, за проблеми с хостинг компаниите или забавяне на самия сайт. Най-лесно можете да си го представите, когато отворите на компютъра си 15 различни програми и продължите да отваряте такива, докато най-накрая системата се претовари. Особено ако имате някаква действаща промоция или реклама, това е последното, което бихте желали да се случи.
Може ли електронната поща да бъде хакната през сайта?
Отговорът на този въпрос е – привидно – да. На практика, пощата Ви се управлява от съвсем различно място – cPanel, друг вид контролен панел, G-Suite, Office 365 или друга мейл система. Как тогава разбирате, че Вашата поща изпраща спам на непознати адресати? Вие вероятно ще получите уведомления за провалена доставка на писма, които не са изпратени от Вас. Това е много лесно за манипулиране, когато на сайта си имате контактна форма.
Има един вид злонамерен код, който е известен под името ‘спам бот’. Това е скрипт, които обикаля сайтовете, на принципа на паячетата на Google, но целта му е да търси контактни форми. Когато намери такава, скрипта започва да я попълва, въвеждайки данни на неизвестни/невалидни мейли, или пък актуални такива. Контактните форми на сайтовете обикновено са проектирани така, че да изпращат на попълващия копие от въведените данни. Така, ако желаете да изпратите спам за Вашите услуги, можете просто да попълните чужд мейл адрес, съдържанието на Вашият спам и той ще бъде изпратен не от Вас, а от сайта, където попълвате тази информация. Така действат и спам ботовете. Те попълват спам информация и карат Вашият сайт да я разпраща на други мейли, без дори Вие да подозирате.
Как да се защитим?
Creative Idea използва няколко модула и похвата за защита на WordPress от хакери и злонамерени ботове. Ние добавяме кодове в специален файл на сървъра, който блокира достъпа на над 40 известни ботове, което намаля съществено риска от проблеми с хостинг компанията, която ползвате. Всички контактни форми използват тип CAPTCHA, или въпрос, за доказване, че попълващия не е бот, а реален човек. Инсталираме специален модул за защита на WordPress сайта, който улавя всички опити за атаки, както и за неоторизирани влизания в сайта и блокира IP адресите на атакуващия. Така ние сме сигурни, че сме направили всичко по силите ни, за да Ви защитим. Не препоръчваме добавянето на модули и скриптове, закупени от нерелевантни сайтове, или пък предложени като безплатни такива. Имайте предвид, че ако сайта Ви е хакнат днес, злонамерения код може да е поставен още преди месец. Препоръчваме на собствениците на сайтове да се обръщат към специалисти.
