Журнал Хакер выпустил книгу «Атаки на веб и WordPress» https: | Интернет мажор (Проект Закрыт)
Журнал Хакер выпустил книгу «Атаки на веб и WordPress» https://bhv.ru/product/ataki-na-veb-i-wordpress/. На страницах издания приводится подробный анализ кода и даны ссылки на видеоролики с наглядной демонстрацией работы уязвимостей в этой CMS. Книга в первую очередь будет полезна администраторам и разработчикам. Я знаю, что среди моих читателей такие есть.
Но я не разработчик, и пролистав оглавление книги, единственная тема, которая лично мне там понятна и привлекла внимание — это проверка плагинов защиты Wordpress в боевых условиях.
Еще давненько я брал интервью у чувака, который владеет биржей XMLStock и по совместительству занимается безопасностью сайтов https://imajor.ru/interviews/vladelec-xmlstock. Вот он там как раз говорил, что эти все плагины бесполезны.
Давайте проверим это заключение на практике, так как я как раз добыл инфу из этой части книги «Атаки на Wordpress».
В общем, там тестировались популярные плагины по защите WordPress без всяких Pro, Premium версий, то есть их бесплатные возможности.
1) Wordfence Security – Firewall & Malware Scan
2) Sucuri Security — Auditing, Malware Scanner and Security Hardening
3) Anti-Malware Security and Brute-Force Firewall
4) Cerber Security, Antispam & Malware Scan
5) Бонус: «Ай-Болит» (это не wp плагин, он обычно навязывается хостинг провайдерами).
Не буду рассказывать о ходе тестирования, но там были встроены в различных модификациях 20 файлов с вредоносным кодом. Нам важны итоги — ни один бесплатный плагин не справился , а Ай-Болит это самое дно.
А вот сам комментарий тестировщика:
—
Как ты мог убедиться, количество активных установок плагина и хвалебные отзывы ничего не говорят о качестве продукта. Равно как и наличие плагина в репозитории WordPress не гарантирует вообще ничего.
Рекомендации:
1) Откажись от всевозможных полумер в работе.
2) Не стоит уповать на популярные «плагины безопасности» — это лишь подспорье (часто сомнительное), а не решение на все случаи жизни.
3) «Варез» на своих проектах — выстрел себе же в ногу (или в обе).
4) Если ты работаешь с программистом и принимаешь проект, то старайся не портить с ним отношения и не мудрить с оплатой — это уменьшает твои шансы принять сайт с неприятными бонусами в виде «закладок».
5) Техподдержка большинства хостинг-компаний откажет тебе в восстановлении ресурса, если тот был скомпрометирован, зато с большой вероятностью предложит платную услугу чистки сайта тем же «Ай-Болитом».
6) И заранее позаботься о бэкапах! Прописная истина, которую частенько игнорируют.
7) Бесполезны по большей части и коммерческие версии плагинов. Условно говоря, продаётся не качественное ПО, а услуга поддержки сайта тем же удалённым «грамотным администратором», вот и вся история. С тем же успехом можно найти специалиста на любой фриланс-бирже или осваивать вопрос самостоятельно, не выкидывая на это по несколько сотен долларов в год.
—
От себя добавлю, что в этом интервью https://imajor.ru/interviews/vladelec-xmlstock дается еще больше советов, как себя обезопасить.
