SEO Сообщество: Спрашивайте и помогайте

Присоединяйтесь к сообществу профессиональных веб-мастеров PR-CY, отвечайте на вопросы коллег и задавайте свои.

Q&A SEO

Движок wordpress страдает уязвимостью?

AsyaLapkina AsyaLapkina  
18
  21.06.2016 11:11       1 429    
Всем добрый день!
Планирую делать сайт вроде блога, поглядывала в сторону Wordpress. Но наблюдая за другим сайтом (не на этом движке), частенько вижу в логах попытки взломать админку вордпресса. Пару раз пытались вломиться в админку Netcat и еще чего-то там, но ВП лидирует с большим отрывом, можно даже не сравнивать. 
Значит ли это, что движок имеет кучу уязвимостей, или это не показатель? Почему именно ВП, и почему так часто идут попытки? Может, не стоит на нем делать сайт?

Ответы на пост (11) Написать ответ
Bager Bager
25
21.06.2016 11:41
Сайт на нем делать стоит. Взломать можно все что угодно. Уязвимости есть. Самая распространенная, урл входа в админку. Для решения этой задачи есть как плагины, так и ручное изменение УРЛ и куча всего еще. Также существует такая функция как бэкап сайта. Вдобавок можно прописать доступ к админке только с определенного IP адреса, если есть статический. К сожалению, можно обойти и это.
Весь вопрос стоит так. Что за это будет и что мы будем с этого иметь.(для тех кто хакает). Платить за ваш сайт серьезные деньги за взлом, для этого надо иметь предпосылки. И что в итоге получат? Ну разместят на главной странице надпись а - ля "Вася сосиска" Или ссылки проставят или положат. Найдете, откатите, найдете как влезли (по логам), закроете уязвимость и все.
Собственно вытекает два варианта. Защита от студентов - решается плагином которых очень много.
Защита от спецов - небольшие деньги и ваш вордпресс в бронежилете.
Сто процентов защиты - не имеет ни один сайт.
Со стороны поисковика, если сильно нагадят, напишите в поддержку, опишите ситуацию, через два месяца все вернется. Вы будете точно не первый.
1
Решение
diler-star diler-star
35
21.06.2016 11:18
От хостеру зависит многое. Лет шесть назад ломали все подряд мои сайты на вордпрессом, сменил хостера, и на протяжении последних двух трех лет все пучком. Еще постоянные обновления плагинов важны, если тема не поддерживается долгое время, надо менять на новый. Не так страшен черт как его рисуют.
1
Makedo Makedo
139
21.06.2016 11:21
WP элементарно защищается, поэтому все попытки школьников взломать ваш сайт буду сравнимы с битьем головой о бетонную стену. Гуглите, там все просто.
1
Krauzer Krauzer
2094
21.06.2016 13:08
Уязвимости в нём много, особенно в плагинах, но все они элементарно закрываются. Благо информации по этому движку полно.
1
vituson vituson
2363
21.06.2016 15:27
Большой плюс вордпресса в том, что он:
постоянно совершенствуется;
очень много бесплатных плагинов (в том числе и для защиты) и тем;
плагины тоже часто обновляются.

Про набор плагинов для защиты тут - vituson.ru/nabor-plaginov-wordpress-dlya-zashhity-ot-xakerov/
и немного о защите тут - vituson.ru/pochemu-vozrosla-nagruzka-na-server/
1
Kimin Kimin
873
22.06.2016 08:45
Нормальный хостер и защитит сам, и бекап глубиной в 7 суток сохранит (7 копий сайта предшествующих 7 суток).
Да, и главное: сразу после установки добавляете пользователя, прописываете один из своих защищенных ящиков, даете пользователю права администратора, заходите из-под него, и удаляете первичного администратора. И не юзайте логин admin никогда)
1
Hydropericardium Hydropericardium
14
22.06.2016 09:36
В принципе все выше описали. Для защиты есть 2 хороших плагина, на одном сайте стоит iThemes Security, на втором Wordfence Security. И тем и тем доволен, есть свои плюсы и минусы. Судя по логам все попытки взлома заканчиваются попыткой ломится по стандартному УРЛ (/admin) и бутфорсом к логину админ, администратор и тд. Ломают его больше только потому, что это самый популярный движок и на нем больше всего сайтов работают, но при этом у него постоянно идут обновления. Вывод-ставим один из вышеперечисленных плагинов( для более глубокой защиты можно взять подписку, около 5 баксов в месяц), меняем урл входа в админку, не используем логин админ, администратор и тд. не используем пароль 123456 и тд. Не качаем плагины и темы с левых сайтов. Следим за всеми обновлениями, как самого движка, так и плагинов с темами.
1
AsyaLapkina AsyaLapkina
18
22.06.2016 10:24
Судя по логам, чаще всего ломятся либо в wp-login, либо в какие-то заковыристые пути с темами и плагинами, да.
Но меня больше всего смущало именно то, что это происходит часто и настойчиво, когда залезть в другие ЦМС была буквально пара попыток всего. И еще что сайт запущенный, заброшенный, с мизерной посещалкой, до недавнего времени им никто не занимался (мне теперь его с колен поднимать) - по логике никому не нужно его ломать вообще. Вот я и подсела на измену.

Спасибо всем за разъяснения, ссылки и наводки на полезности! Буду пользоваться.
0
Hydropericardium Hydropericardium
14
22.06.2016 10:37
Можешь не боятся, у меня есть купленный НОВЫЙ домен и на нем ВП с закрытой индексацией, только разрабатываю сайт, а уже туда ломятся..откуда они вообще узнали про сайт-я не знаю :)
0
Krauzer Krauzer
2094
22.06.2016 11:27
Hydropericardium, через какой нибудь модуль комментариев. Оно автоматом тропку показывает.
0
Hydropericardium Hydropericardium
14
24.06.2016 10:57
Коментарии стандартные, из плагинов на тот момент был только Wordfence Security, возможно еще huge it slider. Оба установлены с оф сайта, оба очень авторитетные, сомневаюсь что в них дырка. Я грешу на то, что на этом айпи стоит второй сайт на ВП, по айпи пробили, увидели второй сайт, да еще и в стадии разработки, и решили какой-то бекдор на будущее впилить..)
0