Безопасность WordPress. Краткое руководство

Череда последних обновлений WordPress показывает, что хакеры довольно пристально следят за развитием «движка». Можно конечно обвинять в этом разработчиков, но любой, кто имеет хотя бы поверхностные знания в программировании, знает, что абсолютно защищенных программ не существует. Для того, чтобы программа стала максимально безопасной, требуется её массовое тестирование. Только в этом случае можно исправить все баги и «дыры».

Нужно отдать должное разработчикам WordPress: они очень оперативно исправляют все проблемы безопасности. Для нас, пользователей, это выражается в периодическом обновлении файлов на сервере. Это не очень удобно, особенно если происходит так часто.

Однако, безопасность блога зависит не только от WordPress. Нужно понимать, что это комплексное решение, которое зависит еще и от сервера, и от ваших действий.

Сервер

Даже если хакер обнаружил «дыру» в WordPress'е и решил ей воспользоваться, то для внедрения своего кода может попробовать изменить на сервере файл «родного» скрипта на свой.

В большинстве случаев, для того, чтобы переписать файл на сервере, нужно изменить его права. Обычно на файлы установленны 644 (изменение файла разрешено только владельцу). Первым делом хакер будет изменять права так, чтобы изменять файл можно было бы всем (666). Делается это с помощью php-команды chmod. Поэтому, для того, чтобы избежать такой ситуации, хостер отключает выполнение этой команды в php-скриптах.

Такой способ создает некоторые неудобства для легального пользователя, поскольку для изменения прав нужно использовать FTP. Но, с другой стороны, тех скриптов, которые требуют полный доступ не так уж и много. Для WordPress'а это каталоги uploads, caсhe и backup. Так, что их достаточно настроить один раз.

Другими php-командами, которыми может воспользоваться злоумышленник, являются команды операционной системы (например exec). Очень часто хостеры также отключают их, поскольку здесь речь идет уже о безопасности всего сервера.

Как вы можете изменить установки сервера? Никак. Всё, что вы можете сделать, так это обратиться к хостеру и уточнить у него эту информацию.

Пароли

При установке WordPress создает пользователя «admin» с паролем из 6 символов. Изменить логин уже невозможно, а вот пароль лучше всего сменить на что-нибудь более длинное.

С точки зрения безопасности, WordPress делает правильно: сам пароль не хранится в открытом виде, а шифруется с помощью md5 (название алгоритма). Причем такое шифрование необратимо, то есть зная зашифрованную строку (хэш), у вас нет способа его раскодировать. После того, как вы вводите свой пароль, WordPress его также кодирует и уже после этого сверяет с тем, что хранится в базе.

Поэтому, даже если злоумышленник получит зашифрованную строку, то для того, чтобы её расшифровать использует различные методы, один из которых подбор по словарю. Хакер может заранее сгенерировать хэши и уже после этого сравнить с хэшем жертвы.

В данном случае проблема заключается именно в малой длине пароля. Если же вы увеличите его длину до 15-20 символов, то вероятность его подбора сведется практически к нулю.

Способ запоминания паролей

Если ваш пароль «admin», «wordpress» или собственное имя пусть даже и с вариацией года рождения, то знайте, что ваш пароль можно подобрать, ориентируясь лишь на эти данные. Понятно, что такой пароль просто запомнить, поэтому я предлагаю вам способ для запоминания сколь угодно длинных паролей.

Суть его очень проста.

• Придумайте легко запоминающуюся фразу, например строчку из песни, пословицы, поговорки. Длина должна быть 10-20 символов, исключая пробелы. Возьмем для примера: «Мы ребята не зазнайки».
• Наберите эту фразу в английской расскладке: уберите пробелы и всё в нижнем регистре. Наш пример: «vsht,znfytpfpyfqrb».

Как видите мы получили вполне приличный пароль, который легко набрать, зная ключевую фразу. Главное не используйте букву «э», поскольку это соответствует одиночной кавычке, и вряд ли будет разрешено системой.

Для того, чтобы уложнить алгоритм, вы можете добавить цифры, или использовать «сдвиг клавиш», например вместо «п» набирать «а» или вместо пробела - «ч». При такой способе вы можете вообще хранить исходную фразу в открытом виде.

Регистрация пользователей

Я до сих пор не понимаю тех, кто требует принудительную регистрацию на блоге ради комментирования. Это противоречит здравому смыслу и несет опасность блогу.

Дело в том, что WordPress использует одну админ-панель для всех. Для распределения полномочий используется уровень доступа, который выставляется админом. Но главное здесь в том, что получив доступ к админ-панели даже с минимальным уровнем, злоумышленник может воспользоваться предустановленным скриптом-плагином. Теоретически WordPress должен блокировать любое выполнение плагина, если его уровень не соответствует заданному. Но многие плагины написаны таким образом, что принимают данные GET или POST без проверки уровня пользователя.

В этом случае, злоумышеник может найти «дырявый» скрипт, сформировать соответствующим образом запрос и выполнить его. Если вы помните, то нечто подобное уже случилось с популярным плагином бэкапа базы данных.

На самом деле здесь нет особой вины ни WordPress, ни плагинописателей: так уж случилось, что многие плагины выполняются не в функциях, а сразу при вызове файла скрипта. Если бы изначально была принята модель работы через классы, то этот вопрос вообще не стоял бы на повестке дня.

Так, что если у вас стоит разрешение на свободную регистрацию, то вероятность взлома сайта гораздо выше.

Отключите плагины

Если у вас установлено множество плагинов, то вряд ли вы их все используете. Поскольку они могут содержать потенциальную угрозу взлома, то держать их активированными и бессмысленно, и опасно.

Если же вам какие-то плагины нужны, но используете вы их не часто, то активируйте их непосредственно перед работой.

Версии

Возможно, что вашим сайтом может заинтересоваться грамотный хакер, который воспользуется неизвестной «дырой». Однако, многие «хакеры» (в кавычках) имею слабое представление о программирование и все их действия сводятся к тому, чтобы получить «эксплоит» («сплоит»/sploit) - скрипт использующий уязвимость. Обычно это делают ради того, чтобы «насолить» владельцу блога по какой-то личной причине.

В этом случае злоумышленник действует достаточно стандартно: выясняется версия WordPress и после этого к нему ищется «сплоит».

Поскольку разработчики WordPress весьма щепетильны к безопасности, то найденные «дыры» закрываются быстро. Но здесь мы сталкиваемся с проблемой обновления владельцем сайта. По разным причинам с этим не спешат, и, соответственно, блог становится уязвим. Поэтому для того, чтобы запутать следы злоумышленнику, можно обновить только один файл: «wp-includes/version.php». В нем нужно исправить только одну переменную $wp_version: укажите последнюю версию WordPress (только помните о двух «линейках» - 2.0.* и 2.1.* - некоторые функции проверяют версию, поэтому используйте свою!).

Конечно же таким способом реально не защититься, поскольку уязвимость осталась, но злоумышленнику придется уже повозиться с определением версии WordPress. Можно указать несуществующую версию, например 2.3 или вообще убрать отображение версии, но на мой взгляд лучше пустить по ложному следу. :wink:

Чужой компьютер

Тут скорее всего рекомендация будет общего характера. Если вы работаете со своим сайтом на чужом компьютере (например на работе), то после завершения работы обязательно разлогинтесь (ссылка «Выйти»). В этом случае будут очищены куки (cookies), в которых хранятся данные доступа. Также не сохраняйте данные заполненных форм: да, это неудобно, зато безопасно.

Если вы пользуетесь нормальным браузером, а не уродом-IE, то можете автоматически очищать все секретные данные. Например в FireFox можно установить опцию «Приватность -> При закртытии FireFox всегда удалять мои личный данные» или воспользоваться кнопкой «Очистить сейчас...». После очистки вы будете уверены, что данные были удалены и ими никто не сможет воспользоваться.