Журнал Хакер выпустил книгу «Ата­ки на веб и...

Журнал Хакер выпустил книгу «Ата­ки на веб и WordPress» https://bhv.ru/product/ataki-na-veb-i-wordpress/. На стра­ницах изда­ния при­водит­ся под­робный ана­лиз кода и даны ссыл­ки на виде­оро­лики с наг­лядной демонс­тра­цией работы уяз­вимос­тей в этой CMS. Книга в первую очередь будет полезна администраторам и разработчикам. Я знаю, что среди моих читателей такие есть.

Но я не разработчик, и пролистав оглавление книги, единственная тема, которая лично мне там понятна и привлекла внимание — это проверка плагинов защиты Wordpress в боевых условиях.

Еще давненько я брал интервью у чувака, который владеет биржей XMLStock и по совместительству занимается безопасностью сайтов https://imajor.ru/interviews/vladelec-xmlstock. Вот он там как раз говорил, что эти все плагины бесполезны.

Давайте проверим это заключение на практике, так как я как раз добыл инфу из этой части книги «Атаки на Wordpress».

В общем, там тестировались популярные плагины по защите WordPress без всяких Pro, Premium версий, то есть их бесплатные возможности.

1) Wordfence Security – Firewall & Malware Scan

2) Sucuri Security — Auditing, Malware Scanner and Security Hardening

3) Anti-Malware Security and Brute-Force Firewall

4) Cerber Security, Antispam & Malware Scan

5) Бонус: «Ай-Болит» (это не wp плагин, он обычно навязывается хостинг провайдерами).

Не буду рассказывать о ходе тестирования, но там были встроены в различных модификациях 20 файлов с вредоносным кодом. Нам важны итоги — ни один бесплатный плагин не справился , а Ай-Болит это самое дно.

А вот сам комментарий тестировщика:

—

Как ты мог убедиться, количество активных установок плагина и хвалебные отзывы ничего не говорят о качестве продукта. Равно как и наличие плагина в репозитории WordPress не гарантирует вообще ничего.

Рекомендации:

1) Откажись от всевозможных полумер в работе.

2) Не стоит уповать на популярные «плагины безопасности» — это лишь подспорье (часто сомнительное), а не решение на все случаи жизни.

3) «Варез» на своих проектах — выстрел себе же в ногу (или в обе).

4) Если ты работаешь с программистом и принимаешь проект, то старайся не портить с ним отношения и не мудрить с оплатой — это уменьшает твои шансы принять сайт с неприятными бонусами в виде «закладок».

5) Техподдержка большинства хостинг-компаний откажет тебе в восстановлении ресурса, если тот был скомпрометирован, зато с большой вероятностью предложит платную услугу чистки сайта тем же «Ай-Болитом».

6) И заранее позаботься о бэкапах! Прописная истина, которую частенько игнорируют.

7) Бесполезны по большей части и коммерческие версии плагинов. Условно говоря, продаётся не качественное ПО, а услуга поддержки сайта тем же удалённым «грамотным администратором», вот и вся история. С тем же успехом можно найти специалиста на любой фриланс-бирже или осваивать вопрос самостоятельно, не выкидывая на это по несколько сотен долларов в год.

—

От себя добавлю, что в этом интервью https://imajor.ru/interviews/vladelec-xmlstock дается еще больше советов, как себя обезопасить.

Источник новости https://t.me/internetmajor/551...