WordPress чаще других CMS подвергается взломам. Это связанно с тем, что она является самой популярной CMS на свете, а также имеет открытый исходный код. Первое делает для хакеров взлом наиболее рентабельным, а второе — позволяет им получить всю необходимую информацию для этого.
Но это вовсе не значит, что сайты на WordPress получатся какие-то «дырявые», которые любой школьник сможет легко взломать. На самом существует множество очень простых и лёгких способов защитить WordPress от взлома. В этой статье мы рассмотрим, как и зачем взламывают сайты, а также плагин защиты от взлома.
Как взламывают сайты
Под сломов «взлом» в данном случае понимается несанкционированный вход в панель управления сайтом, в консоль WordPress. Сделать это можно, узнав логин и пароль от неё.
Хакеры, которые взламывают сайты, узнают логин и пароль с помощью простого и элементарного способа — методом подбора. Естественно, они не сидят часами и сутками над каждым сайтом, и не подбирают логин и пароль в панель управления вручную. А делают это с помощью специальных программ-ботов, которые сканируют все сайты в интернете, выбирают те, которые работают на WordPress, переходят на страницу входа в консоль и в автоматическом режиме начинают подбирать логин и пароль для авторизации. За секунду такие боты могут попробовать тысячи или даже десятки тысяч пар логинов и паролей. Поэтому вопрос взлома для них это дело нескольких минут, иногда часов, даже если пароль сложный.
Для чего взламывают сайты
Как только доступ в консоль WordPress был получен, эти же боты начинают там «хозяйничать». Чаще всего устанавливают какие-то ссылки или коды, которые могут выгодны хакеру. Это всё также происходит в автоматическом режиме, то есть самому человеку, который инициировал взлом, даже не придётся заходить в консоль. После внедрения вредоносных кодов или ссылок, сайт может терять позиции при продвижении в поисковике, а также может оказаться опасным для посетителей.
Крайне редко сайты взламываются для того, чтобы получить над проектом полный контроль, то есть чтобы забрать его у вебмастера. Это обычно не рентабельно и никому не нужно.
Плагины защиты от взлома
Способ взлома, который был описан выше, очень простой. Поэтому и защита для него простая. И несмотря на это, работает со стопроцентной надёжностью.
Суть метода защиты — ограничить по IP или по cookie файлам пользователей, которые определённое количество раз неверно ввели логин и пароль для входа в консоль WordPress. Человек может ошибиться один раз при вводе пароля, может два, и даже может ошибиться три раза. Но четыре или больше раз ошибиться уже не может. Обычно после первого и второго не правильного ввода человек начинает проверять введённые данные на правильность или использует функцию восстановления пароля. Если же входит не человек, а бот, то он будет пытаться войти всё время с неправильными данными. И если, например, после третьей неверной попытки заблокировать ему возможность вводить логин и пароль в консоль на определённое время, то дальше подбирать пароль бот уже не сможет. Блокировать можно, как было сказано выше, по IP (который будет затруднительно быстро менять) и/или по cookie-файлам (которые нельзя каждый раз быстро удалять из браузера). После такой блокировки консоль остаётся в безопасности. И такую блокировку придётся пройти каждому боту, который несколько раз введёт неверные данные.
Реализовать этот способ поможет плагин защиты от взлома. Он настолько простой, что даже не потребует дополнительной настройки и работать будет «из коробки».
Плагин называется Limit Login Attempts Plus. Он хорош тем, что является полностью бесплатным, и в нём нет премиум-версии, в которой были бы какие-то дополнительные скрытые функции. А также он переведён на русский язык. Сразу после установки и активации плагина, он начинает работать. Если 4 раза попытаться войти в консоль с неверными данными, то плагин заблокирует вход для данного пользователя на 20 минут. Если пользователь будет заблокирован таким образом 4 раза, то доступ будет закрыт для него на 24 часа. Количество неправильных попыток и сроки ограничений можно регулировать в настройках плагина. При необходимости можно сделать более строгие правила — уменьшить количество попыток и увеличить сроки ограничений. Но можно оставить и по умолчанию.
В настройках плагина также есть и некоторые другие опции, которые можно оставить по умолчанию и они практически бывают не нужны.
Можно ли избежать попытки взлома сайта
Некоторых смущает, что их сайт кто-то пытается взломать. Особенно будет смущать после установки этого плагина, который может вести статистику взломов, и становится видно, что их бывает сотни в сутки. Попытки взлома сайта, особенно на WordPress — это нормальное дело и с этим нужно смириться. Каждый человек может смириться с дождём на улице — его нельзя устранить. Но от него можно защититься, взяв с собой зонт. Воспринимайте попытки взлома как дождь, а плагин — зонт, который является стопроцентной защитой от осадков.
